Forum du club des d�veloppeurs et IT Pro - Microsoft Azure

Microsoft publie Azure MCP Server 2.0 pour l'automatisation du cloud agentique en auto-h�bergement

Anthony — Tue, 14 Apr 2026 13:29:26 GMT

Microsoft publie la version stable d'Azure MCP Server 2.0 pour l'automatisation du cloud agentique en auto-h�bergement, avec une s�curit� renforc�e et une prise en charge �largie des plateformes d'agents

Microsoft a publi� Azure MCP Server 2.0, une mise � jour stable pr�te pour la production qui met en �uvre le protocole MCP afin de permettre aux agents d'intelligence artificielle (IA) d'interagir avec les ressources cloud Azure. Cette version comprend 276 outils couvrant 57 services Azure, la prise en charge de l'auto-h�bergement � distance pour les d�ploiements d'entreprise, une s�curit� renforc�e gr�ce � Managed Identity et � l'authentification par flux OBO, la compatibilit� avec les clouds souverains (Azure US Government et Azure China), ainsi qu'une prise en charge �largie des environnements de d�veloppement et des plateformes d'agents.

Microsoft Azure (parfois appel� Azure, et anciennement Windows Azure) est la plateforme de cloud computing d�velopp�e par Microsoft. Elle permet la gestion, l'acc�s et le d�veloppement d'applications et de services destin�s aux particuliers, aux entreprises et aux administrations publiques gr�ce � son infrastructure mondiale. Elle offre �galement des fonctionnalit�s qui ne sont g�n�ralement pas incluses dans d'autres plateformes cloud, notamment le logiciel en tant que service (SaaS), la plateforme en tant que service (PaaS) et l'infrastructure en tant que service (IaaS). Microsoft Azure prend en charge de nombreux langages de programmation, outils et frameworks, y compris des logiciels et des syst�mes sp�cifiques � Microsoft ou � des tiers.

Le Model Context Protocol (MCP) est une norme ouverte et un framework open source lanc� par Anthropic en novembre 2024 afin de normaliser la mani�re dont les syst�mes d'IA, tels que les grands mod�les de langage (LLM), int�grent et partagent des donn�es avec des outils, des syst�mes et des sources de donn�es externes. Le MCP fournit une interface universelle permettant de lire des fichiers, d'ex�cuter des fonctions et de traiter des instructions g�n�ratives (prompts) contextuelles. Suite � son annonce, le protocole a �t� adopt� par les principaux fournisseurs d'IA, notamment OpenAI et Google DeepMind.

� Nous sommes ravis d'annoncer la sortie de la version stable d'Azure MCP Server 2.0, une �tape importante pour la cr�ation de flux de travail bas�s sur des agents, � la fois s�curis�s et flexibles, sur Azure. Azure MCP Server est un logiciel open source qui met en �uvre la sp�cification du Model Context Protocol et permet aux agents IA et aux outils de d�veloppement d'interagir avec les ressources Azure via une interface coh�rente et normalis�e �, a d�clar� Microsoft.

Azure MCP comprend actuellement 276 outils MCP r�partis sur 57 services Azure, permettant ainsi de mettre en �uvre des sc�narios de bout en bout couvrant le provisionnement, le d�ploiement, la surveillance et les diagnostics op�rationnels dans le cadre d'exp�riences assist�es par l'IA. La principale nouveaut� de la version 2.0 r�side dans la prise en charge des serveurs MCP auto-h�berg�s et distants. Azure MCP Server peut d�sormais fonctionner comme un serveur MCP distant, ce qui permet aux utilisateurs de le d�ployer exactement l� o� leur �quipe d�veloppe et exploite ses applications.

Qu'est-ce qu'Azure MCP Server ?

Azure MCP Server est un serveur conforme � la norme MCP qui expose les fonctionnalit�s d'Azure sous forme d'outils structur�s et d�tectables que les agents peuvent s�lectionner et invoquer. Il est con�u pour s'int�grer aux workflows de d�veloppement modernes et peut �tre utilis� de mani�re flexible dans le cadre du d�veloppement local sur des IDE, des int�grations d'outils et des d�ploiements centralis�s, y compris en tant que serveur MCP distant auto-h�berg� pour les sc�narios d'�quipe et d'entreprise, ce qui constitue l'objectif principal de la version 2.0.

Cette flexibilit� permet aux utilisateurs de commencer modestement sur une seule machine, puis d'�voluer vers des d�ploiements g�r�s de mani�re centralis�e, avec des politiques, des contr�les de s�curit� et des configurations uniformes.

Principales nouveaut�s d'Azure MCP Server 2.0

Azure MCP Server 2.0 apporte un ensemble cibl� d'am�liorations qui rendent la plateforme mieux adapt�e aux d�ploiements partag�s, � une gouvernance renforc�e et aux workflows d'ing�nierie quotidiens.

Serveur MCP distant auto-h�berg�

Azure MCP Server 2.0 est con�u pour l'h�bergement distant. Il renforce le transport HTTP afin de prendre en charge les sc�narios d'authentification et d'assurer une s�curit� accrue en mode distant. Cela permet aux �quipes de d�ployer Azure MCP en tant que service interne g�r� de mani�re centralis�e et d'appliquer une configuration et une gouvernance coh�rentes.

Azure MCP distant prend �galement en charge plusieurs m�thodes d'authentification, ce qui permet aux utilisateurs d'adapter l'acc�s � leur environnement et � leur mod�le de s�curit�. Par exemple, ils peuvent utiliser une identit� g�r�e lorsqu'ils travaillent avec Microsoft Foundry. Ils peuvent �galement recourir � un flux � On-Behalf-Of � (OBO), �galement appel� d�l�gation OpenID Connect, pour appeler en toute s�curit� les API Azure en utilisant le contexte de l'utilisateur connect�.

Parmi les cas de figure courants, on peut citer :

La mise � disposition d'un acc�s partag� � Azure MCP pour les d�veloppeurs et les syst�mes d'agents internes
L'exploitation d'Azure MCP dans le cadre du r�seau d'entreprise et des politiques en vigueur
La gestion centralis�e des param�tres de configuration, tels que le contexte du locataire, les param�tres par d�faut des abonnements et les politiques de t�l�m�trie
L'int�gration de workflows bas�s sur MCP dans les pipelines CI/CD et d'automatisation

Renforcement de la s�curit� et mesures de protection op�rationnelles

La s�curit� et la s�ret� op�rationnelle constituent des priorit�s centrales de la conception de la version 2.0. Cette version int�gre des m�canismes de validation et des mesures de protection renforc�s, destin�s � r�duire les risques tant dans les sc�narios de d�veloppement local que d'h�bergement � distance. Ces am�liorations couvrent la validation des terminaux, les protections contre les techniques d'injection courantes pour les outils orient�s requ�tes, ainsi que des contr�les d'isolation plus stricts pour les environnements de d�veloppement.

Ensemble, ces modifications visent � rendre Azure MCP plus s�r � ex�cuter en local et plus adapt� � l'h�bergement en tant que service partag� � distance.

Compatibilit� avec les clients et options de distribution

Azure MCP Server 2.0 continue de prendre en charge un large �ventail d'environnements de d�veloppement et de plateformes d'agents, que l'utilisateur travaille au sein d'un IDE, interagisse via une interface en ligne de commande (CLI) ou ex�cute un serveur autonome.

Cette version �largit �galement les options de distribution afin d'am�liorer la portabilit� et de simplifier la mise en place sur l'ensemble des outils compatibles avec MCP.

Am�liorations en termes de performances et de fiabilit�

Azure MCP Server 2.0 int�gre des am�liorations qui renforcent la fiabilit� et la r�activit�, notamment dans les sc�narios faisant appel � plusieurs ensembles d'outils MCP. Les mises � jour apport�es � la distribution des conteneurs permettent �galement de r�duire la taille des images et facilitent un d�ploiement plus efficace dans les environnements conteneuris�s.

Pr�paration au cloud souverain

Azure MCP Server peut �tre configur� pour des environnements cloud souverains tels qu'Azure US Government et Azure exploit� par 21Vianet Cloud (Azure en Chine), ce qui permet son utilisation dans des d�ploiements r�glement�s n�cessitant des points de terminaison souverains et des contr�les de p�rim�tre renforc�s. Cette fonctionnalit� vient compl�ter l'accent mis par la version 2.0 sur l'auto-h�bergement en permettant aux �quipes de d�ployer Azure MCP en ad�quation avec leur environnement cloud et leur niveau de conformit� requis.

En coulisses

Azure MCP continue de faire �voluer son �cosyst�me d'outils afin d'am�liorer la convivialit� et la pr�cision de la s�lection des agents gr�ce � des descriptions d'outils plus claires, � une logique de validation plus coh�rente et � la consolidation des op�rations redondantes, ce qui facilite la d�couvrabilit�. L'objectif de Microsoft est de fournir une interface op�rationnelle pratique � du code au cloud � qui fonctionne de mani�re coh�rente dans un large �ventail de sc�narios Azure sans n�cessiter de mod�les d'int�gration sp�cifiques � chaque service.

Le lancement de la version stable d'Azure SQL MCP Server 2.0 intervient peu apr�s la pr�sentation du serveur IA SQL MCP par Microsoft. Ce serveur est con�u, g�r� et maintenu par Microsoft comme une approche normative visant � exposer les bases de donn�es d'entreprise aux applications et aux agents de mani�re s�curis�e et riche en fonctionnalit�s, sans exiger de langage ou de framework, ni de pilotes ou de biblioth�ques � installer. SQL MCP Server prend en charge les requ�tes hybrides et les sources de donn�es multiples sur Microsoft SQL, PostgreSQL, Azure Cosmos DB et MySQL. Il est open source et gratuit et fonctionne dans n'importe quel cloud, y compris sur site.

Source : Microsoft

Et vous ?

:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous des nouveaut�s propos�es par cette version ? Les trouvez-vous utiles et int�ressantes ?

Voir aussi :

:fleche: Azure sous perfusion : un ex-ing�nieur Microsoft r�v�le comment le deuxi�me cloud mondial tourne depuis 2008 gr�ce � des rustines humaines, pendant que l'IA ach�ve de vider les �quipes de leur substance

:fleche: Microsoft bloque les services Azure Cloud utilis�s par l'arm�e isra�lienne apr�s une enqu�te sur la surveillance de masse qui stocke des millions d'enregistrements d'appels t�l�phoniques

:fleche: Microsoft commence � supprimer Copilot des applications Windows 11 : la derni�re mise � jour Insider du Bloc-notes sur Windows 11 supprime le bouton Copilot ainsi que d'autres r�f�rences � l'IA

Annonce de la nouvelle version RC d'Azure DevOps Server

Jade Emy — Wed, 15 Oct 2025 17:03:11 GMT

Microsoft annonce de la nouvelle version RC d'Azure DevOps Server, qui passe � une politique de cycle de vie moderne avec un support continu et � jour, plut�t qu'une date de fin de support fixe.

Microsoft a annonc� la version candidate (RC) d'Azure DevOps Server. Parmi les am�liorations de cette version, on peut citer : TFX v�rifie si une t�che utilise un ex�cuteur de n�ud en fin de vie, restauration des plans de test et des suites de test supprim�s � l'aide de l'API REST. Avec cette version, Azure DevOps Server passe d'une politique de cycle de vie fixe � une politique de cycle de vie moderne.

Azure DevOps Server, anciennement connu sous le nom de Team Foundation Server (TFS) et Visual Studio Team System (VSTS), est un produit Microsoft qui offre des fonctionnalit�s de contr�le de version (avec Team Foundation Version Control (TFVC) ou Git), de reporting, de gestion des exigences, de gestion de projet (pour les �quipes de d�veloppement logiciel agile et en cascade), de builds automatis�s, de tests et de gestion des versions. Il couvre l'ensemble du cycle de vie des applications et permet de b�n�ficier des fonctionnalit�s DevOps. Azure DevOps peut �tre utilis� comme back-end pour de nombreux environnements de d�veloppement int�gr�s (EDI), mais il est sp�cialement con�u pour Microsoft Visual Studio et Eclipse sur toutes les plateformes.

Le DevOps est l'int�gration et l'automatisation du d�veloppement logiciel et des op�rations informatiques. Le DevOps englobe les t�ches n�cessaires au d�veloppement logiciel et peut permettre de raccourcir le temps de d�veloppement et d'am�liorer le cycle de vie du d�veloppement. Selon Neal Ford, DevOps, en particulier gr�ce � la livraison continue, applique le principe � Bring the pain forward � (anticiper les difficult�s), qui consiste � s'attaquer t�t aux t�ches difficiles, � favoriser l'automatisation et � d�tecter rapidement les probl�mes. Les programmeurs et architectes logiciels doivent utiliser des fonctions d'ad�quation pour contr�ler leurs logiciels.

R�cemment, Microsoft a annonc� la version candidate (RC) d'Azure DevOps Server. Vous pouvez t�l�charger Azure DevOps Server RC d�s maintenant. La mise � niveau directe vers Azure DevOps Server RC est prise en charge � partir de n'importe quelle version de Team Foundation Server, y compris Team Foundation Server 2015 et les versions plus r�centes.

Remarque : le 14 octobre 2025 marque la fin du support �tendu pour Team Foundation Server 2015. Cela signifie qu'il ne b�n�ficiera plus des mises � jour de s�curit� ni du support technique. Il est recommand� de passer aux derni�res versions d'Azure DevOps d�s leur sortie. La mise � niveau directe de cette version RC vers la version RTM finale sera prise en charge. Si vous pr�f�rez attendre la version RTM pour mettre � niveau vos serveurs, essayer cette version RC dans le cadre d'un d�ploiement test est une excellente premi�re �tape.

Nouveaut�s d'Azure DevOps Server RC

Voici quelques-unes des nouvelles fonctionnalit�s incluses dans cette version :

TFX v�rifie si une t�che utilise un ex�cuteur de n�ud en fin de vie
Restauration des plans de test et des suites de test supprim�s � l'aide de l'API REST

Changements apport�s � cette version

Politique de cycle de vie : avec cette version, Azure DevOps Server passe d'une politique de cycle de vie fixe � une politique de cycle de vie moderne. Ce changement permettra d'aligner Azure DevOps Server sur les autres produits Microsoft, offrant ainsi une exp�rience plus flexible et mieux pr�par�e pour l'avenir.

Image de marque : Microsoft apporte une modification � l'image de marque du produit ; avec Azure DevOps Server, il supprime l'ann�e du nom. � l'avenir, il s'agira simplement d'� Azure DevOps Server �.

Auparavant, il inclut l'ann�e de sortie dans le nom du produit afin d'aider les clients � suivre les mises � jour majeures. Cependant, cette approche a sem� la confusion. Les clients demandent souvent si une version portant le nom d'une ann�e pass�e est toujours prise en charge ou actuelle, m�me lorsqu'elle inclut les derniers correctifs. En supprimant l'ann�e :

Cela simplifiera la strat�gie de marque et l'alignera sur un mod�le de livraison continue.
Cela souligne qu'Azure DevOps Server est un produit vivant, qui �volue gr�ce � des am�liorations et des mises � jour de s�curit�.

Ce qui reste inchang�

Microsoft continuera � fournir des mises � jour de s�curit� pour les versions pr�c�demment publi�es jusqu'� la fin du support �tendu. S'il d�cide un jour de retirer Azure DevOps Server, Microsoft affirme qu'il en en informera au moins trois ans � l'avance, afin que vous puissiez prendre les mesures n�cessaires pour �viter toute interruption.

Voici la Foire aux questions partag�es par Microsoft :

Q : Quels sont les changements apport�s � cette version d'Azure DevOps Server ?

R : Pour la premi�re fois, Azure DevOps Server est publi� dans le cadre de la politique de cycle de vie moderne de Microsoft. Cela signifie un support continu pour les clients qui restent � jour avec les mises � jour et r�pondent aux exigences de service et de syst�me, plut�t qu'une date de fin de support fixe.

Q : Y aura-t-il encore des versions majeures ?

R : Non. Dans le cadre de la politique de cycle de vie moderne, Azure DevOps Server n'aura plus de versions majeures tous les deux ans. � la place, les mises � jour seront fournies plus fr�quemment pour une version unique et continue du produit.

Q : Comment le produit sera-t-il commercialis� � l'avenir ?

R : L'ann�e sera supprim�e du nom du produit. Le produit s'appellera simplement � Azure DevOps Server �.

Q : Quel est l'impact sur les licences ?

R : Les clients peuvent continuer � obtenir une licence Azure DevOps Server via Azure (mensuellement) ou via des revendeurs agr��s. Les clients qui ach�tent via Azure peuvent utiliser � la fois les versions h�berg�es et serveur. Les abonn�s Visual Studio continueront � recevoir une licence serveur et un utilisateur par mois. Pour en savoir plus sur les tarifs d'Azure DevOps Server, cliquez ici.

Q : Le support des anciennes versions va-t-il changer ?

R : Microsoft continuera � fournir des mises � jour de s�curit� pour les versions pr�c�demment publi�es jusqu'� la fin du support �tendu dans le cadre de la politique de cycle de vie fixe. L'achat de Software Assurance ne prolonge pas le support des anciennes versions.

Q : Que se passera-t-il si Microsoft d�cide de retirer Azure DevOps Server ?

R : Si la prise en charge d'Azure DevOps Server venait � prendre fin, Microsoft en informerait ses clients afin de leur laisser le temps de proc�der � la transition.

Q : Les clients peuvent-ils migrer vers Azure DevOps Services dans le cloud � partir de la nouvelle version ?

R : Oui. En restant � jour avec la derni�re version d'Azure DevOps Server, les organisations pourront migrer plus facilement vers Azure DevOps Services dans le cloud lorsqu'elles seront pr�tes.

Q : Comment les �quipes de support identifieront-elles la version utilis�e par un client si l'ann�e n'est pas indiqu�e dans le nom du produit ?

R : Les �quipes de support utiliseront le num�ro de version du fichier pour identifier la version sp�cifique utilis�e par un client.

Source : Annonce de Microsoft

Et vous ?

:fleche: Pensez-vous que cette annonce est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Azure DevOps : Microsoft annonce le successeur de Visual Studio Team Services et un service d'int�gration et d�ploiement continus int�gr�s � GitHub

:fleche: Seulement 38 % des organisations ont une strat�gie d'automatisation DevOps clairement d�finie, selon une �tude de Dynatrace. L'automatisation DevOps devenant imp�ratif

:fleche: Microsoft a d�ploy� des puces de s�curit� personnalis�es sur tous les serveurs Azure Cloud afin de lutter contre une menace cybercriminelle estim�e � 10 000 milliards de $

Images attach�es

Les vuln�rabilit�s d'Entra ID de Microsoft auraient pu avoir des cons�quences catastrophiques

Alex — Mon, 22 Sep 2025 07:21:39 GMT

Les vuln�rabilit�s d'Entra ID de Microsoft auraient pu avoir des cons�quences catastrophiques et permettre � des pirates d'acc�der � pratiquement tous les comptes clients Azure Cloud.

Une faille critique d'Azure Entra ID met en �vidence les probl�mes d'IAM de Microsoft. Bien que la vuln�rabilit� du cloud ait �t� corrig�e avant sa divulgation, le chercheur qui l'a d�couverte affirme qu'elle aurait pu conduire � des attaques catastrophiques, ce qui a alarm� certains membres de la communaut� de la s�curit�.

Microsoft Entra ID (anciennement Microsoft Azure Active Directory ou Azure AD) est une solution de gestion des identit�s et des acc�s (IAM) bas�e sur le cloud. Il s'agit d'un service de gestion des r�pertoires et des identit�s qui fonctionne dans le cloud et offre des services d'authentification et d'autorisation � divers services Microsoft, tels que Microsoft 365, Dynamics 365, Microsoft Azure et des services tiers.

Entra ID propose diff�rentes m�thodes d'authentification, notamment l'authentification par mot de passe, l'authentification multifactorielle, l'authentification par carte � puce et l'authentification par certificat. Il comprend �galement plusieurs fonctionnalit�s de s�curit�, telles que des politiques d'acc�s conditionnel, l'authentification bas�e sur les risques et la protection de l'identit�.

En 2024, Microsoft a �t� au c�ur d'une pol�mique concernant la perte de plus de deux semaines de journaux de s�curit� pour certains de ses produits cloud. Cet incident, qui s'est produit entre le 2 et le 19 septembre 2024, a �t� attribu� � un bogue dans l'un des agents de surveillance internes de l'entreprise. Ce probl�me a emp�ch� l'envoi des donn�es de journal vers la plateforme de journalisation interne de Microsoft, laissant les d�fenseurs des r�seaux sans donn�es cruciales pour d�tecter d'�ventuelles intrusions.

R�cemment, une vuln�rabilit� critique de l'authentification Microsoft aurait pu permettre � un acteur malveillant de compromettre pratiquement tous les locataires Entra ID dans le monde. La vuln�rabilit� d'�l�vation de privil�ges (EoP), r�f�renc�e sous le num�ro CVE-2025-55241, a �t� corrig�e au cours de l'�t� et divulgu�e au d�but du mois, mais rien n'indique que cette faille, qui avait initialement re�u une note CVSS de 9,0 avant d'�tre reclass�e � 10,0, ait �t� exploit�e dans la nature. Cela dit, selon le chercheur qui a d�couvert la faille, cette vuln�rabilit� aurait pu �tre utilis�e pour mener des attaques d�vastatrices et met en �vidence un manque de s�curit� autour des composants cl�s de la pile d'authentification d'Azure.

Selon Dirk-jan Mollema, chercheur en s�curit� et fondateur du cabinet de conseil n�erlandais Outsider Security, la vuln�rabilit� provient d'une d�faillance d'authentification dans l'API Azure AD Graph. Ce service, dont la suppression est pr�vue cette ann�e, est une API REST qui permet aux utilisateurs d'acc�der aux ressources cloud Azure, notamment Entra ID (anciennement Azure Active Directory ou Azure AD).

Selon Mollema, cette d�faillance d'authentification permet � des utilisateurs non autoris�s de tirer parti d'un autre probl�me de s�curit� qu'il a d�couvert, appel� � Actor tokens �. Ces jetons non document�s, con�us pour les communications de service � service en arri�re-plan, ne sont pas soumis � des politiques de contr�le d'acc�s et, surtout, peuvent �tre utilis�s pour �lever des privil�ges.

Mollema a d�couvert que la vuln�rabilit� d'authentification dans l'API Azure AD Graph pouvait cr�er des jetons d'usurpation d'identit� et les utiliser pour un acc�s inter-locataires. � Concr�tement, cela signifie qu'avec un jeton que j'ai demand� dans mon locataire de laboratoire, je pouvais m'authentifier en tant que n'importe quel utilisateur, y compris les administrateurs globaux, dans n'importe quel autre locataire �.

Mollema a d�couvert cette faille en juillet alors qu'il pr�parait sa pr�sentation pour les conf�rences Black Hat USA 2025 et DEF CON 33 � Las Vegas, intitul�e � Advanced Active Directory to Entra ID Lateral Movement Techniques � (Techniques avanc�es de d�placement lat�ral d'Active Directory vers Entra ID). La pr�sentation d�taillait en partie comment les acteurs malveillants peuvent abuser des jetons Actor non sign�s, qui sont g�n�r�s par ce qu'il consid�re comme un service h�rit� appel� � Access Control Service � (service de contr�le d'acc�s).

Les jetons d'authentification non sign�s sont particuli�rement dangereux en soi, mais Mollema a constat� que le jeton Actor pr�sentait un risque encore plus grand car il � manque de presque tous les contr�les de s�curit� que l'on pourrait souhaiter �. Par exemple, ils ne peuvent pas �tre r�voqu�s pendant leur dur�e de vie de 24 heures, ils contournent les politiques d'acc�s conditionnel et leur visibilit� est extr�mement limit�e.

� La demande de jetons Actor ne g�n�re pas de journaux �, a �crit Mollema. � M�me si c'�tait le cas, ils seraient g�n�r�s dans mon locataire plut�t que dans celui de la victime, ce qui signifie qu'il n'y a aucune trace de l'existence de ces jetons. � Lorsqu'il a test� les jetons Actor, il a modifi� certains de leurs champs pour voir s'ils fonctionnaient toujours. Dans un test, il a chang� l'ID du locataire du jeton pour quelque chose de compl�tement diff�rent : un locataire de son compte de test.

Lorsqu'il a essay� d'acc�der au nouveau locataire via Azure AD Graph, Mollema a re�u un message d'erreur indiquant que le jeton Actor �tait valide, mais que l'identit� de l'utilisateur �tait introuvable dans le locataire. Il a alors trouv� un netID (c'est-�-dire un identifiant utilisateur pour Azure AD Graph) pour le nouveau locataire et d�couvert que son acc�s �tait autoris�. � J'ai test� cela sur quelques autres locataires test auxquels j'avais acc�s, pour m'assurer que je n'�tais pas fou, mais je pouvais effectivement acc�der aux donn�es d'autres locataires, � condition de conna�tre leur identifiant de locataire (qui est une information publique) et l'identifiant r�seau d'un utilisateur de ce locataire �, a-t-il �crit.

Bien que les identifiants r�seau ne soient pas publics, Mollema a d�couvert que les identifiants utilisateur sont g�n�r�s de mani�re incr�mentielle et sont donc vuln�rables aux attaques par force brute. De plus, Mollema a d�couvert qu'en modifiant les jetons Actor et en devinant l'identifiant netID d'un administrateur global, il pouvait obtenir un acc�s illimit� � ce locataire, sans laisser aucune trace dans les journaux. � Sans l'absence totale de mesures de s�curit� dans ces jetons, je ne pense pas qu'un impact aussi important avec une t�l�m�trie aussi limit�e aurait �t� possible �, a-t-il �crit.

Mollema explique que, bien que l'API Azure AD Graph soit pr�vue pour �tre retir�e cette ann�e, de nombreuses applications Microsoft l'utilisent encore. � Je ne pense pas que le plan de retrait ait eu un impact sur la vuln�rabilit�, mais une API en voie de disparition n'est pas susceptible de b�n�ficier d'une attention particuli�re de la part des ing�nieurs pour � moderniser � le code et/ou l'authentification �, dit-il.

Si l'�chec de l'authentification avec Azure AD Graph permet l'acc�s inter-locataires, Mollema estime que le probl�me le plus important concerne les jetons Actor, qui, selon lui, n'auraient jamais d� exister. Il existe un flux de jetons OAuth con�u pour emp�cher ce type de sc�narios d'usurpation d'identit�, mais il n'a pas �t� suivi, explique-t-il. � Dans ce flux, le fournisseur d'identit� �met un jeton sign�, qui ne peut donc pas �tre modifi�. Cela signifie �galement que des journaux sont g�n�r�s lorsque ces jetons sont �mis, ce qui nous permet d'avoir au moins un certain niveau d'audit �, explique Mollema. � � mon avis, ce sont l� des propri�t�s importantes qui devraient �tre mises en place dans un protocole d'usurpation d'identit�. �

Les recherches de Mollema ont, � juste titre, alarm� de nombreux membres de la communaut� de la s�curit� de l'information. Dans un message publi� sur la plateforme de r�seau social X, Heather Adkins, vice-pr�sidente de l'ing�nierie de s�curit� chez Google, a d�clar� qu'il s'agissait de � l'une des pires vuln�rabilit�s que j'ai jamais vues �.

Cette vuln�rabilit� a �galement raviv� les critiques � l'�gard de la s�curit� de Microsoft, en particulier en ce qui concerne la gestion des identit�s et des acc�s (IAM) Azure. � Nous avons besoin d'un autre CSRB [Cyber Safety Review Board] pour garantir que msft [sic] d�truise compl�tement ce m�canisme de jetons d'usurpation d'identit� �, a d�clar� Michael Bargury, directeur technique (CTO) chez Zenity, dans un message publi� sur X.

En 2024, le CSRB du d�partement de la S�curit� int�rieure a publi� un rapport accablant sur Microsoft � la suite d'une violation massive commise par un acteur malveillant chinois identifi� sous le nom de Storm-0558. Le rapport du CSRB, aujourd'hui dissous, critiquait de nombreux aspects de la posture de s�curit� de Microsoft, en particulier pour ses services cloud, et qualifiait la culture de s�curit� de l'entreprise d'� inad�quate � et n�cessitant une refonte.

En outre, ce rapport cinglant r�v�lait que Microsoft n'avait toujours pas d�termin� comment Storm-0558 avait vol� une cl� de signature de compte Microsoft (MSA) grand public, que les pirates avaient utilis�e pour pirater les comptes de messagerie de plus de 20 organisations clientes. Le CRSB critiquait �galement l'entreprise pour avoir attendu plusieurs mois avant de corriger un article de blog publi� pr�c�demment, qui affirmait que les pirates avaient vol� la cl� sur le r�seau de Microsoft apr�s qu'elle ait �t� incluse par erreur dans un vidage sur incident.

Cela rappelle qu'en janvier dernier, Microsoft a poursuivi des pirates informatiques pour avoir exploit� des services d'intelligence artificielle (IA) � l'aide d'identifiants Azure vol�s. Le groupe aurait contourn� les contr�les de s�curit� dans des services comme Azure OpenAI pour g�n�rer du contenu nuisible, mon�tiser l'acc�s et distribuer des outils � d'autres cybercriminels. Microsoft a d�crit les actions du groupe comme faisant partie d'une vaste "entreprise d'abus d'Azure", mettant en �vidence un mod�le coordonn� et persistant d'activit� ill�gale.

Mollema affirme que d'apr�s ce qu'il a pu observer depuis la publication du rapport du CSRB, Microsoft � travaille d'arrache-pied pour am�liorer la s�curit� de sa plateforme et de ses syst�mes �. Le g�ant du logiciel a annonc� en 2024 son initiative Secure Future Initiative (SFI) afin de rem�dier aux probl�mes d�taill�s dans le rapport, et a pris plusieurs mesures pour am�liorer ses pratiques et son dispositif de s�curit�.

Mollema a �galement salu� la r�ponse rapide et compl�te de Microsoft � son rapport sur la vuln�rabilit�, notamment une mesure d'att�nuation suppl�mentaire mise en place par l'entreprise � la suite de ses sessions Black Hat et DEF CON. � Gr�ce � cette mesure d'att�nuation suppl�mentaire, Microsoft a compl�tement bloqu� la possibilit� pour les clients de demander ces jetons d'acteur pour Azure AD Graph, ce qui signifie que s'il y avait une faille de validation inter-locataires similaire dans cette API, il ne serait pas possible d'en abuser puisque m�me la demande de jetons au sein d'un locataire est d�sormais bloqu�e, ce qui en fait une bonne mesure d'att�nuation en profondeur �, explique-t-il.

Cependant, Mollema dit qu'il a encore des inqui�tudes. � �tant donn� que les protocoles utilis�s dans cette faille remontent probablement aux tout d�buts d'Azure/Entra ID, je pense qu'il s'agit davantage d'une mauvaise d�cision de s�curit� prise dans le pass� et ayant un impact important sur le pr�sent que d'un probl�me r�cent �, explique-t-il. � Je suis plus pr�occup� par le manque de transparence concernant les protocoles et les processus utilis�s en interne par Microsoft, qui ne sont pas accessibles aux chercheurs externes pour qu'ils puissent les �valuer ou y trouver des failles. �

Face � cette nouvelle d�couverte, Tom Gallagher, vice-pr�sident de l'ing�nierie au Microsoft Security Response Center, a comment� : � Nous appr�cions le travail de Dirk-Jan Mollema, d'Outsider Security, qui a identifi� et signal� de mani�re responsable cette vuln�rabilit� dans le cadre d'une divulgation coordonn�e. Nous avons rapidement att�nu� le probl�me nouvellement identifi� et acc�l�r� les travaux de correction en cours pour mettre hors service l'utilisation de ce protocole h�rit�, dans le cadre de notre initiative Secure Future Initiative (SFI).

Nous avons mis en �uvre une modification du code dans la logique de validation vuln�rable, test� le correctif et l'avons appliqu� � l'ensemble de notre �cosyst�me cloud. Nous n'avons trouv� aucune preuve d'abus de cette vuln�rabilit� et, afin de maintenir la transparence, nous avons publi� un CVE-2025-55241 sans action. Nous restons d�termin�s � renforcer nos normes d'identit�, � encourager leur adoption gr�ce � l'utilisation de SDK standard dans 100 % des applications, tout en poursuivant notre collaboration avec la communaut� afin d'identifier et de corriger les vuln�rabilit�s de mani�re responsable, am�liorant ainsi la s�curit� pour tous �.

Voici un extrait du rapport de Dirk-jan Mollema :

Citation:

Un seul jeton pour tous les contr�ler : obtenir les droits d'administrateur global dans chaque tenant Entra ID via les jetons Actor.

Alors que je pr�parais mes interventions pour les conf�rences Black Hat et DEF CON en juillet dernier, j'ai d�couvert la vuln�rabilit� Entra ID la plus grave que j'ai jamais rencontr�e. Cette vuln�rabilit� m'aurait permis de compromettre tous les locataires Entra ID dans le monde (� l'exception probablement de ceux utilisant des d�ploiements cloud nationaux1). Si vous �tes un administrateur Entra ID et que vous lisez ceci, oui, cela signifie un acc�s complet � votre locataire. La vuln�rabilit� comprenait deux composants : des jetons d'usurpation d'identit� non document�s, appel�s � jetons d'acteur �, que Microsoft utilise dans son backend pour la communication de service � service (S2S). De plus, il y avait une faille critique dans l'API Azure AD Graph (h�rit�e) qui ne validait pas correctement le locataire d'origine, permettant � ces jetons d'�tre utilis�s pour un acc�s inter-locataires.

Concr�tement, cela signifie qu'avec un jeton que j'ai demand� dans mon locataire de laboratoire, je pouvais m'authentifier en tant que n'importe quel utilisateur, y compris les administrateurs globaux, dans n'importe quel autre locataire. En raison de la nature de ces jetons d'acteur, ils ne sont pas soumis � des politiques de s�curit� telles que l'acc�s conditionnel, ce qui signifie qu'aucun param�tre n'aurait pu att�nuer ce probl�me pour des locataires sp�cifiques renforc�s. L'API Azure AD Graph �tant une API plus ancienne permettant de g�rer le service Azure AD / Entra ID de base, l'acc�s � cette API aurait pu �tre utilis� pour apporter toute modification au locataire que les administrateurs g�n�raux peuvent effectuer, y compris la prise de contr�le ou la cr�ation de nouvelles identit�s et l'octroi de toute autorisation dans le locataire. Avec ces identit�s compromises, l'acc�s pouvait �galement �tre �tendu � Microsoft 365 et Azure.

J'ai signal� cette vuln�rabilit� le jour m�me au Microsoft Security Response Center (MSRC). Microsoft a corrig� cette vuln�rabilit� de son c�t� dans les jours qui ont suivi la soumission du rapport et a d�ploy� d'autres mesures d'att�nuation qui emp�chent les applications de demander ces jetons d'acteur pour l'API Azure AD Graph. Microsoft a �galement publi� le CVE-2025-55241 pour cette vuln�rabilit�.

Impact

Ces jetons permettaient un acc�s complet � l'API Azure AD Graph dans n'importe quel locataire. La demande de jetons d'acteur ne g�n�re pas de journaux. M�me si c'�tait le cas, ils seraient g�n�r�s dans mon locataire plut�t que dans le locataire victime, ce qui signifie qu'il n'y a aucune trace de l'existence de ces jetons.

De plus, l'API Azure AD Graph ne dispose pas de journalisation au niveau de l'API. Son successeur, Microsoft Graph, dispose de cette journalisation, mais pour Azure AD Graph, cette source de t�l�m�trie est encore en phase de pr�visualisation tr�s limit�e et je ne connais aucun locataire qui en dispose actuellement. Comme il n'y a pas de journalisation au niveau de l'API, cela signifie que les donn�es Entra ID suivantes pourraient �tre consult�es sans laisser de traces :

Les informations sur les utilisateurs, y compris toutes leurs donn�es personnelles stock�es dans Entra ID.
Informations sur les groupes et les r�les.
Param�tres du locataire et politiques (d'acc�s conditionnel).
Applications, entit�s de service et toute attribution d'autorisation d'application.
Informations sur les appareils et cl�s BitLocker synchronis�es avec Entra ID.

Ces informations pourraient �tre consult�es en se faisant passer pour un utilisateur r�gulier du locataire victime. Si vous souhaitez conna�tre l'impact total, mon outil roadrecon utilise la m�me API. Si vous l'ex�cutez, tout ce que vous trouvez dans l'interface graphique de l'outil pourrait avoir �t� consult� et modifi� par un attaquant abusant de cette faille.

Si un administrateur global �tait usurp�, il serait �galement possible de modifier n'importe lequel des objets et param�tres ci-dessus. Cela entra�nerait une compromission totale du locataire avec un acc�s � tous les services qui utilisent Entra ID pour l'authentification, tels que SharePoint Online et Exchange Online. Cela donnerait �galement un acc�s complet � toutes les ressources h�berg�es dans Azure, car ces ressources sont contr�l�es au niveau du locataire et les administrateurs globaux peuvent s'octroyer des droits sur les abonnements Azure. La modification d'objets dans le locataire entra�ne (g�n�ralement) la g�n�ration de journaux d'audit. Cela signifie que, m�me si, en th�orie, toutes les donn�es de Microsoft 365 auraient pu �tre compromises, toute action autre que la lecture des informations du r�pertoire laisserait des journaux d'audit susceptibles d'alerter les d�fenseurs. Cependant, sans connaissance des artefacts sp�cifiques g�n�r�s par les modifications avec ces jetons d'acteur, il semblerait qu'un administrateur global l�gitime ait effectu� ces actions.

D'apr�s la t�l�m�trie interne de Microsoft, aucune utilisation abusive de cette vuln�rabilit� n'a �t� d�tect�e. Si vous souhaitez rechercher d'�ventuels artefacts d'abus dans votre propre environnement, une d�tection KQL est incluse � la fin de cet article.

Source : Rapport de Dirk-jan Mollema

Et vous ?

:fleche: Pensez-vous que ce rapport est cr�dible ou pertinent ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Une campagne permanente compromet les comptes Azure des cadres sup�rieurs et les verrouille, � l'aide de l'authentification multifacteur

:fleche: Microsoft a d�ploy� des puces de s�curit� personnalis�es sur tous les serveurs Azure Cloud afin de lutter contre une menace cybercriminelle estim�e � 10 000 milliards de $

:fleche: Microsoft lance une mise en garde contre "Silk Typhoon", un groupe d'espionnage chinois, qui se focalise sur les outils de gestion � distance et les applications cloud

Images attach�es

[D�butant] Demande de conseils

Thomad — Tue, 10 Jun 2025 07:42:13 GMT

Bonjour,

Voil�, je ne connais pas du tout le Cloud mais devant changer d'infra, actuellement deux DC en Windows 2016 sans vSphere 7.0

je voulais savoir si on pouvait imaginer migrer vers le Cloud ?

Est-ce qu'il faut tout de m�me garder un DC physique au cas o� ? Car tous mes postes se connectent sur un domaine et donc en cas de panne.

Merci d'avance pour votre.

Bonne journ�e � tous.

Thomad

Microsoft et le framework open source pour la cr�ation d'applications d'IA LangChain, par Marlene Mhangami

Marlene Mhangami — Fri, 06 Jun 2025 14:56:24 GMT

Microsoft et le framework open source pour la cr�ation d'applications d'IA LangChain : � la pointe de la s�curit� IA pour l'open source sur Azure, par Marlene Mhangami

Pour les d�veloppeurs qui travaillent dans le domaine de l'IA, l'industrie �volue si rapidement que nous privil�gions souvent la rapidit� et l'ex�cution avant tout. Afin de suivre les derni�res �volutions, de nombreux d�veloppeurs et entreprises se tournent vers des outils d'IA open source. L'un des outils les plus populaires aujourd'hui est LangChain, un framework open source pour la cr�ation d'applications d'IA. Il y a un peu plus d'un an, Microsoft a lanc� l'initiative Secure Future Initiative (SFI) afin d'am�liorer la s�curit� de Microsoft, de ses clients et du secteur dans son ensemble. Cette initiative inclut l'open source, avec pour objectif d'aider les d�veloppeurs � innover librement, non seulement rapidement, mais aussi en toute s�curit�.

En Python, LangChain est d�sormais plus t�l�charg� qu'OpenAI sur PyPI. Source : LangChain Interrupt 2025 Keynote

Si vous d�veloppez des applications d'IA pour les entreprises, LangChain fournit des �l�ments de base pour les architectures multi-agents et une gamme de grands mod�les de langage (LLM) et d'int�grations de stockage vectoriel fournis par des tiers. Si son vaste �cosyst�me communautaire offre de nombreux avantages, son r�seau d'int�grations partenaires peut soulever des questions de s�curit� auxquelles nous devons pr�ter attention.

Les recommandations de Microsoft en mati�re de s�curit� de l'IA soulignent deux risques principaux li�s aux applications bas�es sur les LLM :

Fuite d'informations : des donn�es sensibles sont involontairement expos�es � des parties non autoris�es, ce qui peut entra�ner des violations de donn�es.
�l�vation des privil�ges : lorsqu'un utilisateur obtient des niveaux d'acc�s plus �lev�s que pr�vu, ce qui lui permet d'effectuer des actions non autoris�es.

LangChain fournit des centaines d'int�grations � des services tiers, y compris de nombreuses technologies exp�rimentales. En raison de la nature des flux agentifs, la cr�ation d'applications bas�es sur le LLM implique souvent l'ex�cution et l'�valuation de code, ainsi que le traitement de donn�es. Tous ces �l�ments exposent les applications aux risques mentionn�s ci-dessus.

Microsoft s'engage � aider les d�veloppeurs et les entreprises � adopter en toute s�curit� les derni�res innovations, y compris l'open source. Nous accordons une grande importance � l'open source et maintenons deux frameworks d'agents IA ouverts, Semantic Kernel et Autogen. Nous avons �galement contribu� � am�liorer la s�curit� de certains des plus grands projets et �cosyst�mes OSS. Conform�ment � cette mission, notre �quipe de s�curit� a examin� LangChain au d�but de l'ann�e et a identifi� plusieurs probl�mes de s�curit� dans langchain-community, le package d'int�grations tierces de LangChain, et langchain-experimental, le package du projet destin� � la recherche et � l'utilisation exp�rimentale. Bien que ces deux packages soient facultatifs, ils pourraient �tre utilis�s par des clients qui ne connaissent pas la distinction entre LangChain core, community et experimental.

LangChain dispose d'un vaste �cosyst�me comprenant les packages qu'il fournit, les int�grations officielles des fournisseurs et les int�grations tierces de la communaut�.

Nous avons constat� une augmentation du nombre de d�veloppeurs et d'entreprises utilisant LangChain et LangGraph. Nous avons donc pris ces probl�mes au s�rieux et avons contact� LangChain afin de d�finir une marche � suivre. Michael Scovetta, responsable principal de la s�curit� chez Microsoft, a d�clar� � ce sujet :

Citation:

Envoy� par Michael Scovetta, responsable principal de la s�curit� chez Microsoft

Lorsque nous avons examin� LangChain et ses projets associ�s, nous avons identifi� plusieurs domaines dans lesquels la s�curit� devait �tre am�lior�e avant de l'utiliser dans nos syst�mes de production. Microsoft s'engage � faire d'Azure l'environnement le plus s�r pour l'ex�cution des charges de travail d'IA, et notre �quipe Developer Relations travaille avec LangChain pour am�liorer la s�curit� et faciliter son utilisation en toute s�curit� par les organisations

Nous sommes ravis de nous associer � LangChain pour r�soudre ces probl�mes de s�curit�, en commen�ant par les int�grations Azure, puis en passant � une couverture compl�te de LangChain. Harrison Chase, PDG de LangChain, d�clare :

Citation:

Envoy� par Harrison Chase, cofondateur et PDG de LangChain

Au cours des 18 derniers mois, nous avons pris des mesures pour pr�parer LangChain � une utilisation en entreprise. La premi�re �tape a consist� � repenser l'architecture de l'�cosyst�me afin de rendre les packages tels que langchain-community et langchain-experimental optionnels et distincts. Nous sommes ravis de collaborer avec Microsoft afin d'aider davantage d'entreprises � tirer parti de l'IA de mani�re s�re et efficace.

Microsoft fournit des heures d'ing�nierie, des outils d'int�gration continue et des workflows pour d�tecter et emp�cher que du code non s�curis� ne soit fusionn� dans le projet � l'avenir. Nous soutenons �galement LangChain par le biais d'Alpha-Omega, o� nous aidons le projet � am�liorer sa documentation afin que les organisations puissent mieux comprendre et �viter les pi�ges potentiels en mati�re de s�curit�.

Nous avons travaill� avec l'�quipe LangChain pour cr�er un mono-r�f�rentiel LangChain-Azure, et ensemble, nous visons � faire d'Azure l'endroit le plus s�r pour d�velopper avec l'IA ! Pour commencer avec Python, vous pouvez acc�der � notre catalogue complet de mod�les d'IA depuis Azure AI Foundry en installant notre nouveau package Azure AI. Ex�cutez :

Code:

pip install langchain-azure-ai

Et ex�cutez le code suivant :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
from langchain_azure_ai.chat_models import AzureAIChatCompletionsModel
from langchain_core.messages import HumanMessage, SystemMessage
 
model = AzureAIChatCompletionsModel(
    endpoint="https://{your-resource-name}.services.ai.azure.com/models",
    credential="your-api-key",
    model= "deepseek/DeepSeek-R1-0528"
)
 
messages = [
    HumanMessage(content="Translate the following from English into Italian: 'hi!'")
]
 
message_stream = model. stream(messages)
print("".join(chunk.content for chunk in message_stream))

Vous pouvez �galement acc�der � Azure AI Foundry dans JavaScript en utilisant le nouveau package langchain-azure-js dans LangChain. Nous avons �galement mis � jour le package LangChain4J, cr�� et d�tenu par la communaut�, destin� aux d�veloppeurs Java.

� l'avenir, nous pensons que notre travail avec LangChain fournira un mod�le aux d�veloppeurs d'IA qui cr�ent des logiciels open source. Microsoft fonctionne sur la base de la confiance, et nous continuerons � travailler de mani�re transparente afin de garantir la s�curit� des applications d'IA cr��es avec ce framework sur Azure.

Source : Microsoft and LangChain: Leading the Way in AI Security for Open Source on Azure

Et vous ?

:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: Construisez un chatbot sur vos propres donn�es en 1 heure avec Azure SQL, Langchain et Chainlit, par Davide Mauri

:fleche: Comment le chatbot IA GPT-4o va r�volutionner la technologie vocale en temps r�el : La technologie est pass� d'un concept futuriste � un outil essentiel pour les entreprises, selon Cindy Wang de Microsoft

:fleche: AutoDev, un framework innovant d�velopp� par Microsoft, pourrait r�volutionner le d�veloppement de logiciels, en combinant l'IA avec les besoins pratiques des d�veloppeurs, rationalisant les t�ches

Images attach�es