Dans le cadre de sa Secure Future Initiative, Microsoft annonce avoir l’intention de renforcer la sécurité de l’interface de connexion à Entra ID. L’objectif : durcir la Content Security Policy (CSP) afin d’empêcher toute injection de scripts externes au cours du processus de connexion. Une mesure qui vise à contrer les attaques XSS. Qu’est-ce que ça change en pratique ? Faisons le point.

Microsoft Entra ID : un durcissement de la CSP

Pour rappel, la CSP (Content Security Policy) est un mécanisme de sécurité Web qui contrôle quelles ressources un navigateur est autorisé à charger et exécuter lors de la visite d’un site spécifique, afin de prévenir des attaques comme l’injection de scripts (XSS).

Dans le cas présent, Microsoft Entra ID va imposer une nouvelle CSP sur login.microsoftonline.com : seule l’exécution de scripts provenant de domaines Microsoft de confiance sera autorisée. Tous les autres scripts seront bloqués, que ce soit du code inline ou des scripts téléchargés. Ce changement vise à empêcher l’injection de scripts malveillants dans l’interface de connexion aux services de Microsoft. C’est tout de même étonnant que Microsoft n’ait pas appliqué cette politique plus tôt.

Concrètement, seront autorisés :

• Les téléchargements de scripts à partir des domaines CDN approuvés par Microsoft.
• L’exécution de scripts en ligne provenant d’une source approuvée par Microsoft.

Comme l’explique Megna Kokkalera, Product Manager II chez Microsoft, cette évolution “ajoute une couche de protection supplémentaire en empêchant l’exécution de code non autorisé ou injecté lors de l’expérience de connexion.“

Quel est l’impact pour les entreprises ?

Cette mesure a pour objectif de renforcer la sécurité de la page de connexion aux services de Microsoft, mais quel est l’impact pour les entreprises ? Dans son article, Microsoft précise : “Si vous utilisez des outils ou des extensions de navigateur qui injectent du code ou des scripts dans la page de connexion Microsoft Entra, passez à d’autres outils qui n’injectent pas de code. L’injection de code et de scripts ne sera plus prise en charge et ces outils cesseront de fonctionner, mais les utilisateurs pourront toujours se connecter.” – Il peut s’agir notamment de code JavaScript injecté dans le navigateur.

Même si l’entreprise américaine ne donne pas d’exemples, l’article rappelle comment identifier une violation de la politique CSP. La réponse se situe dans la console DevTools du navigateur, où un message du style “Refused to load the script….” sera visible. Voici un exemple :

Si vous utilisez des extensions ou outils injectant du JS dans la page de connexion Entra ID, il faudra vous adapter : ces solutions cesseront tout simplement de fonctionner une fois la nouvelle CSP déployée. Vous devez donc changer d’outil ou revoir le fonctionnement de ce dernier.

Enfin, sachez que ce changement s’applique uniquement aux flux d’authentification basés sur un navigateur. Le déploiement de cette mesure est prévu sur la seconde moitié du mois d’octobre 2026.

Source