En matière de réponse aux incidents, l'une des erreurs les plus fréquentes – et les plus dangereuses – commises par les équipes informatiques concerne la compromission des comptes utilisateurs. Lorsqu'un administrateur système apprend que l'adresse e-mail d'un collaborateur a été piratée, son premier réflexe est quasi universel : forcer la réinitialisation du mot de passe.
Si cette action est indispensable, elle est, à elle seule, tragiquement insuffisante face aux cyberattaques modernes. Pour comprendre pourquoi un hacker peut continuer à vider une boîte mail des heures après que le mot de passe a été changé, il faut plonger dans la mécanique d'authentification de Microsoft Entra ID (Azure AD) et saisir la différence vitale entre la réinitialisation et la révocation.
Le mythe du changement de mot de passe
Dans l'imaginaire collectif, changer un mot de passe revient à changer la serrure d'une porte : quiconque n'a pas la nouvelle clé est immédiatement expulsé de la maison. Dans le monde du cloud, ce n'est pas le cas.
Lorsque vous vous connectez à Microsoft 365, Entra ID vérifie votre identité (mot de passe + MFA) et vous délivre un "Access Token" (Jeton d'accès) et un "Refresh Token" (Jeton d'actualisation).
- L'Access Token est valide pour une courte durée (généralement 1 heure) et vous permet d'accéder à Exchange ou SharePoint sans vous reconnecter.
- Le Refresh Token (valide jusqu'à 90 jours) permet au navigateur de demander silencieusement un nouvel Access Token lorsque le premier expire.
Si un pirate a volé la session de votre utilisateur (Token Theft), il possède ces jetons sur son propre ordinateur. Si vous vous contentez de changer le mot de passe, le Refresh Token du pirate reste valide. Lorsqu'il tentera d'accéder à un nouveau document, Entra ID acceptera son jeton d'actualisation et lui délivrera un nouvel accès. Le hacker reste connecté et poursuit son exfiltration de données en toute impunité.
La véritable arme d'urgence : La Révocation des Sessions
Pour "expulser" réellement un attaquant de votre infrastructure, il faut invalider la confiance que le système accorde aux jetons précédemment émis. C'est le rôle de la Révocation de Sessions (la commande API revokeSignInSessions).
Lorsque cette commande est exécutée :
- Microsoft Entra ID invalide instantanément tous les Refresh Tokens émis pour cet utilisateur.
- Un événement de révocation est propagé à tous les services cloud (Teams, Outlook, SharePoint, OneDrive).
- Dès que l'Access Token actuel de l'attaquant expire (ou dès qu'il tente une nouvelle action nécessitant une validation), l'accès lui est refusé. Il est brutalement déconnecté et renvoyé vers la page de login, où il devra prouver son identité.
L'orchestration conjointe avec Akuity SOC
Pour qu'une remédiation sur l'identité soit parfaite, elle doit toujours combiner les deux actions. L'orchestrateur Akuity SOC a été conçu pour fluidifier cette chorégraphie technique afin de garantir une expulsion totale du pirate et une reprise d'activité sécurisée pour le collaborateur.
Depuis l'onglet "Identités à risque", l'analyste SOC peut enchaîner les opérations en toute sécurité :
Étape 1 : Couper l'accès (Revoke Sessions)
D'un clic, l'analyste déclenche l'action revokeSessions. Le backend valide l'identité de l'analyste via son application MFA (niveau d'assurance AAL2 exigé) et transmet l'ordre de révocation globale à l'API Microsoft Graph. Le pirate est expulsé.
Étape 2 : Changer la serrure (Reset Password)
Immédiatement après, l'analyste utilise l'action resetUserPassword. Contrairement à la console Azure classique qui peut être fastidieuse, Akuity génère à la volée un mot de passe temporaire robuste (ex: Xy7!pL9#mK2).
Ce mot de passe s'affiche dans un modal persistant sécurisé muni d'un bouton de copie rapide. Ce n'est qu'un mot de passe de transition : l'action modifie le profil de l'utilisateur dans Entra ID pour imposer un changement obligatoire dès qu'il l'utilisera pour se reconnecter.
Conclusion : Adoptez les bons réflexes SOAR
Ne laissez pas une méconnaissance des mécanismes de jetons OAuth compromettre la sécurité de votre entreprise. Face à une alerte d'usurpation d'identité, la séquence correcte est immuable : révoquer d'abord, réinitialiser ensuite.
En intégrant ces capacités directement dans un orchestrateur de réponse, vous garantissez que vos équipes de niveau 1 appliquent systématiquement la bonne méthode de remédiation, sans erreur et en quelques secondes.
Sécurisez vos remédiations d'identité. > Découvrez comment notre plateforme de Gestion des Identités à Risque Entra ID automatise la révocation de sessions et la réinitialisation sécurisée.