Symposium sur la sécurité des technologies de l'information et des communications

Les politiques d'accès conditionnel d'Azure constituent un outil de sécurité puissant pour contrôler l'accès aux ressources. Cependant, leur complexité et leur manque de transparence engendrent souvent une compréhension insuffisante des mécanismes sous-jacents, créant ainsi des opportunités pour les attaquants de contourner des protections telle que l'authentification multifacteur. Dans cette présentation, nous rappelerons les concepts OAuth sous-jacents, étudierons les limites de l'implémentation des restrictions par application, puis partirons à la découverte des applications publiées par Microsoft et leur usage à des fins offensives.