nOAuth a été initialement dévoilée en 2023 par Omer Cohen (Descope), qui avait mis en lumière une faille dans l’implémentation d’OpenID Connect par certaines applications SaaS. Les recherches de Semperis ont porté sur les applications de la Microsoft Entra Application Gallery et révélé qu’un grand nombre d’entre elles restaient vulnérables plus d’un an après sa révélation initiale.
Identifiée grâce à des tests inter-tenants, cette vulnérabilité repose sur des configurations Entra ID acceptant des adresses e-mail non vérifiées comme identifiants utilisateur, une pratique explicitement déconseillée par les standards OpenID Connect. Dans ce scénario, un attaquant n’a besoin que d’un tenant Entra et de l’adresse e-mail de sa cible pour prendre le contrôle de son compte SaaS. Les protections classiques, comme l’authentification multifacteur (MFA), les accès conditionnels ou les politiques Zero Trust, ne suffisent pas à bloquer ce type d’attaque.

« Beaucoup de développeurs suivent, sans le savoir, des schémas peu sécurisés, souvent parce qu’ils ne savent pas quoi surveiller, » explique Eric Woodruff. « De leur côté, les clients n’ont aucun moyen de détecter ou bloquer l’attaque, ce qui en fait une menace à la fois discrète et durable. »

Se protéger face à nOAuth

En testant plus de 100 applications SaaS intégrées à Entra, Woodruff a constaté que près de 10 % d’entre elles étaient toujours vulnérables. Une fois la faille exploitée, les attaquants peuvent prendre le contrôle total du compte SaaS visé, ce qui leur permet d’exfiltrer des données, de maintenir un accès persistant et, potentiellement, de se déplacer latéralement dans l’environnement. Le Microsoft Security Response Center (MSRC) encourage les éditeurs à appliquer les mesures correctives nécessaires, faute de quoi leurs applications pourraient être retirées de la galerie Entra.

« L’exploitation de nOAuth représente une menace sérieuse à laquelle de nombreuses organisations peuvent être exposées, » poursuit Woodruff. « Elle demande peu d’efforts, laisse très peu de traces et contourne les protections côté utilisateur. Nous avons confirmé que cette faille reste exploitable dans de nombreuses applications SaaS, alors nous appelons les développeurs à corriger ces failles pour protéger leurs clients avant qu’elles ne soient exploitées davantage. »

Semperis a commencé à signaler ses découvertes à Microsoft et aux éditeurs concernés dès décembre 2024. Certains ont depuis sécurisé leurs applications, mais d’autres restent exposées. Sans une corrélation poussée des logs entre Entra ID et la plateforme SaaS concernée, la détection d’un abus reste extrêmement difficile.

Les chercheurs de Semperis, pionniers dans la détection des menaces liées à l’identité, ont récemment intégré de nouvelles capacités de détection dans leur plateforme Directory Services Protector (DSP) pour contrer BadSuccessor, une technique d’escalade de privilèges ciblant une nouvelle fonctionnalité de Windows Server 2025. L’an dernier, ils avaient déjà identifié Silver SAML, une nouvelle variante de l’attaque Golden SAML (connue depuis l’affaire SolarWinds), capable de contourner les protections standard dans les apps intégrées à Entra ID.