Microsoft reconnaît un problème qui a déclenché des alertes répandues dans son système de protection d'identification ENTRA

Microsoft a reconnu un problème récent qui a déclenché des alertes répandues dans son système de protection d'identification ENTRA, signalant les comptes d'utilisateurs comme un risque élevé en raison de fuites d'identification supposées sur le Dark Web.

Microsoft has confirmed an recent issue that led to widespread alerts in its Entra ID Protection system, warning of high-risk user accounts due to alleged credential leaks on the dark web.

Microsoft a confirmé un élément récent qui a conduit à des alertes répandues dans son système de protection de l'ID ENTRA, avertissant des comptes d'utilisateurs à haut risque en raison de fuites d'identification présumées sur le Dark Web.

The alerts, which impacted system administrators globally, were attributed to a combination of an internal token logging error and the rollout of a new security feature called MACE Credential Revocation, causing confusion among IT professionals.

Les alertes, qui ont eu un impact sur les administrateurs du système à l'échelle mondiale, ont été attribuées à une combinaison d'une erreur de journalisation de jetons interne et au déploiement d'une nouvelle caractéristique de sécurité appelée révocation des informations d'identification, provoquant une confusion parmi les professionnels de l'informatique.

Token Logging Issue Sparks Alerts

Problème de journalisation des jetons Sparks Alertes

Microsoft identified that it was inadvertently logging a subset of short-lived user refresh tokens for a small percentage of users, deviating from its standard practice of only logging metadata.

Microsoft a identifié qu'il était en train de journaliser par inadvertance un sous-ensemble de jetons de rafraîchissement des utilisateurs à courte durée de vie pour un petit pourcentage d'utilisateurs, s'écartant de sa pratique standard de uniquement les métadonnées de l'exploitation forestière.

This issue was promptly corrected, and the affected tokens were invalidated to protect users. However, this invalidation process unintentionally generated alerts in Entra ID Protection, indicating that users' credentials may have been compromised.

Ce problème a été rapidement corrigé et les jetons affectés ont été invalidés pour protéger les utilisateurs. Cependant, ce processus d'invalidation a généré involontairement des alertes dans la protection de l'ID ENTRA, indiquant que les informations d'identification des utilisateurs peuvent avoir été compromises.

The alerts occurred between 4:00 AM and 9:00 AM UTC on April 20, 2025, and there was no evidence of unauthorized access to these tokens. If any is detected, Microsoft will follow standard security incident response protocols.

Les alertes ont eu lieu entre 4 h 00 et 9 h 00 UTC le 20 avril 2025 et il n'y avait aucune preuve d'accès non autorisé à ces jetons. En cas de détection, Microsoft suivra les protocoles de réponse standard sur les incidents de sécurité.

MACE Rollout Triggers False Positives

Le déploiement de Mace déclenche de faux positifs

Concurrently, Microsoft rolled out its new security feature, MACE Credential Revocation, over the same weekend, aiming to detect and respond to potentially compromised credentials by checking for matches on the dark web and other sources.

Parallèlement, Microsoft a déployé sa nouvelle fonctionnalité de sécurité, Mace Credential Revocation, au cours du même week-end, visant à détecter et à répondre aux informations d'identification potentiellement compromises en vérifiant les matchs sur le Web Dark et d'autres sources.

However, the rollout led to widespread false positives, with accounts being flagged as high risk despite having strong, unique passwords and multi-factor authentication (MFA) enabled.

Cependant, le déploiement a conduit à des faux positifs généralisés, les comptes étant signalés comme un risque élevé malgré les mots de passe solides et uniques et l'authentification multi-facteurs (MFA).

Social media posts and online forums, including Reddit, reported similar experiences, and some administrators noted that even passwordless accounts were affected, further suggesting that the alerts were erroneous.

Les publications sur les réseaux sociaux et les forums en ligne, y compris Reddit, ont signalé des expériences similaires, et certains administrateurs ont noté que même les comptes sans mot de passe étaient affectés, ce qui suggère en outre que les alertes étaient erronées.

One administrator shared on Reddit: "I just got a half dozen alerts for accounts supposedly found with valid credentials on the dark web. ... The six accounts don't have much in common ... There are no risky sign-ins, no other risk detections, everyone is MFA."

Un administrateur a partagé sur Reddit: "Je viens de recevoir une demi-douzaine d'alertes pour les comptes censés trouver avec des informations d'identification valides sur le Web Dark. ... Les six comptes n'ont pas grand-chose en commun ... Il n'y a pas de signes risqués, pas d'autres détections de risques, tout le monde est MFA."

The user added that the accounts didn't show any matches on Have I Been Pwned (HIBP), fueling suspicions of a Microsoft error.

L'utilisateur a ajouté que les comptes n'ont montré aucune correspondance. Si j'ai été Pwned (HIBP), alimentant les soupçons d'une erreur Microsoft.

Microsoft's Response and Customer Actions

La réponse de Microsoft et les actions des clients

Microsoft has advised affected customers to use the "Confirm User Safe" feature in Entra ID Protection to resolve the erroneous high-risk flags, as detailed in its documentation.

Microsoft a conseillé aux clients affectés d'utiliser la fonctionnalité "Confirmer l'utilisateur sûr" dans la protection de l'ID ENTRA pour résoudre les drapeaux erronés à haut risque, comme détaillé dans sa documentation.

This feature allows administrators to manually clear the risk status for affected users. Additionally, Microsoft recommends resetting passwords for any locked accounts and ensuring that MFA is enabled, although many affected accounts already had these measures in place.

Cette fonctionnalité permet aux administrateurs d'éliminer manuellement l'état du risque pour les utilisateurs affectés. De plus, Microsoft recommande de réinitialiser les mots de passe pour tous les comptes verrouillés et de s'assurer que le MFA est activé, bien que de nombreux comptes affectés aient déjà mis en place ces mesures.

Administrators can also review sign-in logs in the Microsoft Entra admin center under Monitoring & Health for error codes like AADSTS50053, which indicate account lockouts.

Les administrateurs peuvent également examiner les journaux de connexion dans le Microsoft ENTRA Admin Center sous la surveillance et la santé des codes d'erreur comme AADSTSS50053, qui indiquent les verrouillage du compte.

Ongoing Investigation and Recommendations

Enquête et recommandations en cours

Microsoft is currently conducting a Post Incident Review (PIR) to investigate both the token logging issue and the MACE rollout's false positives.

Microsoft mène actuellement une revue des incidents (PIR) pour enquêter à la fois le problème de journalisation des jetons et les faux positifs du déploiement de Mace.

The PIR will be shared with affected customers through official channels and open support cases. Customers are encouraged to configure Azure Service Health alerts to receive updates on the PIR and future Azure service issues.

Le PIR sera partagé avec les clients touchés par le biais de canaux officiels et de cas d'assistance ouverte. Les clients sont encouragés à configurer Azure Service Health Alerts pour recevoir des mises à jour sur le PIR et les futurs problèmes de service Azure.

Administrators facing these alerts are advised to:

Il est conseillé aux administrateurs confrontés à ces alertes de:

The incident has sparked frustration among IT professionals, with posts on X describing the MACE rollout as "ruining" their weekend due to false alarms.

L'incident a déclenché la frustration parmi les professionnels de l'informatique, avec des messages sur X décrivant le déploiement de Mace comme "ruinant" leur week-end en raison de fausses alarmes.

One user remarked, "Microsoft rolled out a new dark web credential detection app called MACE this Easter weekend, which promptly ruined my Saturday with its false alarm on my primary M365/Entra ID account."

Un utilisateur a fait remarquer: "Microsoft a déployé une nouvelle application de détection d'identification Web Dark appelée Mace ce week-end de Pâques, qui a rapidement ruiné mon samedi avec sa fausse alarme sur mon compte principal M365 / ENTRA."

Another post highlighted the scale, noting that an MDR provider received over 20,000 notifications overnight.

Un autre article a souligné l'échelle, notant qu'un fournisseur MDR a reçu plus de 20 000 notifications du jour au lendemain.

This incident follows other recent cybersecurity challenges, such as Microsoft's April 2025 Patch Tuesday, which addressed 126 vulnerabilities, including an actively exploited zero-day (CVE-2025_29824). While unrelated to the Entra issue, it underscores the heightened scrutiny on Microsoft's security processes.

Cet incident suit d'autres défis de cybersécurité récents, tels que le patch avril 2025 de Microsoft mardi, qui a abordé 126 vulnérabilités, y compris un jour zéro-jour activement exploité (CVE-2025_29824). Bien que sans rapport avec le problème de l'ENTRA, il souligne le contrôle accru sur les processus de sécurité de Microsoft.

Microsoft's swift acknowledgment and corrective actions demonstrate its commitment to user security, but the false positives have highlighted the challenges of rolling out new security features at scale.

La reconnaissance rapide de Microsoft et les actions correctives démontrent son engagement envers la sécurité des utilisateurs, mais les faux positifs ont mis en évidence les défis de déploiement de nouvelles fonctionnalités de sécurité à grande échelle.

Administrators are urged to remain vigilant, follow Microsoft's guidance, and leverage external monitoring tools to ensure their systems remain secure. For further updates, customers can monitor the Azure Service Health portal or contact Microsoft support directly.

Les administrateurs sont invités à rester vigilants, à suivre les conseils de Microsoft et à tirer parti des outils de surveillance externes pour garantir que leurs systèmes restent en sécurité. Pour d'autres mises à jour, les clients peuvent surveiller le portail de santé Azure Service ou contacter directement le support Microsoft.