Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La stratégie de sécurité de contenu (CSP) est un en-tête de sécurité de navigateur qui autorise uniquement les scripts et ressources approuvés à charger. Microsoft Entra ID impose le CSP sur les pages de connexion comme mesure proactive pour bloquer les scripts non autorisés provenant de sources externes et réduire le risque de vulnérabilités résultant d’attaques par injection de scripts telles que les attaques de type Cross-Site Scripting (XSS).
Important
L'application de la politique de sécurité de contenu commencera à l'échelle mondiale de la mi-octobre à la fin octobre 2026.
S’applique uniquement à la connexion basée sur le navigateur à l’adresse login.microsoftonline.com. Les clients Microsoft Entra External ID utilisant des domaines personnalisés et des flux MSAL/API ne sont pas affectés.
Microsoft recommande de ne pas utiliser d’extensions de navigateur ou d’outils qui injectent du code dans l’expérience de connexion Microsoft Entra. Si vous suivez ces conseils, votre expérience reste inchangée et aucune autre action n’est nécessaire.
Si vous utilisez des outils ou des extensions de navigateur qui injectent du code dans la page de connexion Microsoft Entra, basculez vers d’autres outils qui n’injectent pas de code avant la publication de cette modification.
Pour plus d’informations sur la préparation de l’application CSP, consultez Comment Préparer l’Application CSP.
Risque d’injection de script ou de code
L’injection de script ou de code se produit lorsque des scripts malveillants s’exécutent dans le navigateur d’un utilisateur sans autorisation. Cette vulnérabilité peut entraîner les alertes suivantes :
- Vol de données : les attaquants peuvent voler des informations sensibles telles que des informations d’identification ou des jetons.
- Détournement de session : les scripts injectés peuvent prendre le contrôle des sessions actives.
- Remise de programmes malveillants : le code malveillant peut installer des logiciels dangereux sur les appareils utilisateur.
- Perte de confiance : les pages de connexion compromises endommagent la confiance de l’utilisateur et la réputation de la marque.
XSS est l’une des attaques par injection les plus courantes. Il permet aux attaquants d’exécuter des scripts malveillants dans le navigateur d’un utilisateur, ce qui peut voler des informations d’identification, détourner des sessions et compromettre les données sensibles.
Csp permet également de protéger contre ces attaques en limitant les scripts qui peuvent s’exécuter dans le navigateur. En appliquant CSP, l'ID Microsoft Entra autorise uniquement les scripts des domaines Microsoft approuvés à être exécutés lors de l’authentification.
CSP est une défense en profondeur
CSP ajoute une couche importante de défense contre les attaques par injection de script comme XSS. Aujourd’hui, Microsoft Entra et les navigateurs modernes implémentent déjà des mécanismes pour empêcher l’injection de scripts malveillants dans un site web en tant que première et principale couche de défense. Toutefois, dans les cas où un script peut être injecté malgré ces mécanismes( par exemple par le biais d’une extension de navigateur malveillante installée par l’utilisateur ou d’une vulnérabilité zéro jour), CSP empêche l’exécution de ce script. CSP effectue cette opération en répertoriant uniquement les nonces et origines de script approuvés, tout en bloquant par défaut tout le reste. Cette approche de défense en profondeur renforce les mesures de sécurité existantes.
Portée de l'application CSP et détails
L’application CSP renforce encore davantage la sécurité du processus de connexion Microsoft Entra en autorisant uniquement les scripts à s’exécuter à partir de domaines Microsoft approuvés. Cela réduit les opportunités d’injection de script externe non autorisée. Notre analyse montre que la plupart des violations proviennent d’extensions de navigateur externes ou de scripts injectés liés à des outils tiers.
Voici ce que vous devez savoir sur l'étendue et les principaux détails concernant l'application de CSP :
-
Étendue de l’application de l’en-tête : L’application CSP est applicable uniquement aux expériences de connexion basées sur le navigateur à l’adresse
login.microsoftonline.com. D’autres domaines et flux d’authentification non-rowser ne sont pas affectés. - Bibliothèque d’authentification Microsoft (MSAL) et authentification d’API : les flux d’authentification basés sur MSAL qui interagissent avec les API STS (Microsoft Entra Security Token Service) ne sont pas affectés, car l’application est limitée à l’URL de connexion du navigateur.
- ID externe Microsoft Entra et domaines personnalisés : les clients d’ID externe utilisant des domaines personnalisés ou des domaines CIAM pour la connexion ne sont pas affectés.
Outils non-Microsoft avec violations de la politique de sécurité de contenu (CSP)
Certains outils tiers peuvent injecter des scripts dans des pages de connexion, ce qui peut entraîner des violations CSP. Lorsque le CSP est appliqué à login.microsoftonline.com, ces scripts seront bloqués lors de l’exécution. Les utilisateurs pourront toujours se connecter normalement, mais cela peut perturber certains flux de travail de connexion ou de surveillance.
Les clients qui utilisent des outils qui s’appuient sur des scripts injectés doivent travailler directement avec leurs fournisseurs pour identifier et implémenter des correctifs conformes aux exigences csp.
Comment préparer l'application des politiques de sécurité de contenu (CSP)
Passez en revue votre expérience de connexion tôt. Supprimez ou migrez des extensions de navigateur et des outils qui injectent des scripts dans la page de connexion Microsoft Entra. Si votre organisation s’appuie sur ces outils, collaborez avec les fournisseurs pour adopter des alternatives conformes avant le déploiement.
Testez les flux de connexion à l’avance pour identifier et résoudre les violations, réduire les interruptions et assurer la transparence de l’expérience de vos utilisateurs. Utilisez les instructions ci-dessous pour identifier l’effet exact dans votre locataire.
Étape 1 : Parcourez un flux de connexion avec la console de développement ouverte pour identifier les violations.
Étape 2 : Passez en revue les informations relatives à la violation affichée en rouge. Si une équipe ou une personne spécifique a provoqué la violation, elle apparaît uniquement dans leurs flux. Pour garantir la précision, évaluez soigneusement différents scénarios de connexion au sein de votre organisation. Voici un exemple de violation :
Cette mise à jour de notre fournisseur de solutions Cloud ajoute une couche supplémentaire de protection en bloquant les scripts non autorisés, ce qui contribue à protéger votre organisation contre les menaces de sécurité en constante évolution. Pour garantir un déploiement fluide, testez votre flux de connexion à l’avance. Cela vous permet de détecter et de résoudre les problèmes dès le début, de sorte que vos utilisateurs restent protégés, et votre expérience de connexion reste transparente.