Notes de version Tenable Identity Exposure 2025

Conseil : vous pouvez vous abonner pour recevoir des alertes lors des mises à jour de la documentation Tenable.

Ces notes de version sont répertoriées dans l'ordre chronologique inverse.

Tenable Identity Exposure 3.96 (2025-06-11)

Indicateurs d'exposition Entra ID

  • Expiration de mots de passe imposée — Cet IoE détecte les domaines qui imposent l'expiration des mots de passe. Cette pratique peut compromettre la sécurité en invitant les utilisateurs à changer fréquemment de mot de passe, ce qui peut les inciter à créer des mots de passe faibles ou prévisibles ou à les réemployer, réduisant ainsi la protection globale du compte.

  • Appareils gérés non requis pour l'inscription à la MFA — Cet IoE détecte les tenants qui ne disposent pas de stratégie d'accès conditionnel activée permettant d'exiger des appareils gérés pour l'inscription à la MFA. Le fait d'exiger des appareils gérés pour l'inscription à la MFA ajoute une couche de sécurité supplémentaire. En effet, il est plus difficile pour les attaquants d'enregistrer une méthode MFA malveillante, même s'ils disposent d'informations d'identification volées, à moins qu'ils ne possèdent également un appareil géré.

La version 3.96 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Dans « Identités 360 », le filtrage des tags n'apparaît plus pour les utilisateurs du produit autonome.
Le Secure Relay se connecte désormais uniquement au contrôleur de domaine (DC) spécifié dans l'interface et ignore toutes les redirections du DC contacté.

Tenable Identity Exposure 3.95 (2025-06-02)

Indicateurs d'exposition Active Directory (AD)

  • Autorisations dMSA dangereuses BadSuccessor — Cet IoE détecte BadSuccessor, une vulnérabilité d'élévation de privilèges dans Active Directory, introduite avec les dMSA dans Windows Server 2025. Cette vulnérabilité permet aux attaquants d'exploiter l'héritage des dMSA pour obtenir un accès à privilèges élevés et potentiellement compromettre l'ensemble du domaine. L'exploitation nécessite un contrôleur de domaine Windows Server 2025.

  • Les menus Paramètres de Tenable Identity Exposure ont été renommés pour mieux traduire leur finalité. De plus, le menu Fournisseurs d'identité de Tenable Identity Exposure, qui permet de configurer les tenants Entra ID lorsqu'ils sont activés, est désormais plus facilement accessible via l'icône d'engrenage.

La version 3.95 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Tenable Identity Exposure a ajouté une protection pour éviter la duplication des entités « Tenable Identity Exposure – Généré automatiquement » sur Tenable Cloud.
Le chemin long du répertoire apparaît désormais correctement dans la fenêtre Relay MSI.
Tenable Identity Exposure prend désormais en charge l'attribution de noms personnalisés pour la GPO d'indicateur d'attaque (IoA). Les clients qui utilisaient précédemment un nom de GPO d'IoA personnalisé doivent réinstaller l'IoA à l'aide du dernier script IoA.

Tenable Identity Exposure 3.94 (2025-05-26)

Indicateurs d'exposition (IoE) Entra ID

  • Utilisateurs autorisés à joindre des appareils – Cet IoE détecte les paramètres de tenant qui permettent aux utilisateurs de joindre des appareils à Microsoft Entra. Ce paramètre permet à tous les utilisateurs de joindre les appareils non restreints au tenant Entra, ce qui permet à des attaquants d'implanter des appareils malveillants dans le système d'identité de l'organisation et d'obtenir un point d'accès pour le compromettre davantage.

  • Appareils gérés non requis pour l'authentification – Cet IoE exige des appareils gérés pour éviter les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour empêcher l'authentification auprès d'Entra ID à partir d'appareils non gérés.

  • Migration des méthodes d'authentification non terminée – Cet IoE signale les tenants qui n'ont pas encore migré vers la nouvelle stratégie « Méthodes d'authentification ». La migration vers la stratégie « Méthodes d'authentification » permet de rationaliser et de moderniser la gestion des authentifications dans Microsoft Entra ID. Cette transition simplifie l'administration, améliore la sécurité et permet de prendre en charge les dernières méthodes d'authentification.

  • Autorisations d'application dangereuses affectant les données – Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Cet IoE détecte les autorisations qui peuvent introduire un risque pour les données des utilisateurs stockées par ces services.

  • Utilisateurs à risque sans application – Cet IoE bloque les utilisateurs à risque pour éviter les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour empêcher les comptes vulnérables de s'authentifier auprès d'Entra ID.

Indicateurs d'exposition Active Directory (AD)

  • Autorisations Exchange sensibles – Cet IoE gère les autorisations liées aux groupes et aux ressources Exchange au sein du domaine. Il affiche désormais exclusivement toutes les autorisations provenant de la solution Exchange ou qui la ciblent, afin d'améliorer la lisibilité dans d'autres IoE.

  • Membres de groupes Exchange – Cet IoE suit les membres de groupes Exchange sensibles.

  • Exclusion des « Comptes de synchronisation d'annuaires » des stratégies d'accès conditionnel, qu'ils aient été créés manuellement ou déployés via des scripts de remédiation, pour éviter de perturber Entra Connect et Entra Cloud Sync.

  • Amélioration du classement ACR (Asset Critical Rating) des identités pour mieux prendre en compte la hiérarchie de l'organisation et le risque associé.

  • Nouvelle interface pour le formulaire de notification SMTP.

La version 3.94 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
L'indicateur d'attaque Attaque de mot de passe par force brute affiche désormais « Données non disponibles » lorsqu'il ne peut pas obtenir l'adresse IP source à partir de la valeur « Poste de travail ».
Tenable Identity Exposure place désormais correctement la fenêtre contextuelle Exporter de manière à ce que le bouton Exporter reste visible, même au niveau de zoom par défaut du navigateur.
Tenable Identity Exposure enregistre désormais correctement les requêtes de recherche globales à partir d'« Identités 360 » et de « Vue d'ensemble de la cyber-exposition » dans l'historique des requêtes, même lorsque l'historique est initialement vide.
Vous pouvez désormais ajouter aux favoris des requêtes de recherche globales à partir d'Identités 360 ou de Vue d'ensemble de la cyber-exposition même lorsque la liste des favoris est initialement vide.
Le test de connectivité au domaine et les vérifications de l'état du système de la fonctionnalité « Analyse privilégiée » gèrent désormais correctement le codage objectSID spécifique.
L'indicateur d'attaque Extraction NTDS met désormais correctement en corrélation le nom d'utilisateur source.
Tenable Identity Exposure a résolu les problèmes de performance dans les instances d'exposition qui empêchaient parfois le chargement de la page.
Le service « Cygni » de Security Engine Node (SEN) démarre désormais correctement même en l'absence de connexion Internet lorsque la fonction OpenTelemetry est activée.

8 mai 2025

Tenable a le plaisir d'annoncer que des améliorations significatives ont été apportées à votre produit cloud Espace de travail ! Nous avons repensé l'espace de travail pour vous offrir une meilleure visibilité et un meilleur accès aux produits Tenable :

  • Vue d'ensemble améliorée du produit — Vous pouvez désormais voir facilement les produits que vous avez achetés et une gamme d'autres produits à explorer.

  • Informations détaillées sur les produits — Accédez à plus de détails pour obtenir une démonstration du produit et acquérir ainsi une connaissance approfondie de chaque produit.

  • Utilisation des produits — Nous avons ajouté une fonctionnalité d'utilisation qui affiche le pourcentage d'utilisation que vous faites des produits auxquels vous avez souscrit. Cette fonctionnalité vous permet de vous diriger rapidement vers la page Informations de licence.

  • Visibilité du statut de l'essai — Si vous évaluez actuellement un produit ou l'avez fait au cours de l'année passée, vous verrez désormais le statut de l'essai (En cours d'essai ou Essai expiré) directement dans votre espace de travail.

Ces changements sont conçus pour vous aider à tirer le meilleur parti de vos solutions Tenable et à découvrir de nouvelles façons d'améliorer votre posture de sécurité. Pour en savoir plus, accédez à la page « Espace de travail » via n'importe quelle application cloud Tenable.

Tenable Identity Exposure 3.92.3 (2025-04-28)

Tenable a identifié et résolu une vulnérabilité critique (CVE-2025-32433) affectant la mise en œuvre de SSH dans Erlang/OTP. Présente dans la gestion des messages du protocole SSH, cette faille permet à un acteur malveillant d'obtenir un accès non autorisé et de lancer l'exécution de code arbitraire sans informations d'identification valides.

Tenable Identity Exposure 3.92 (2025-04-17)

La version 3.92 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Le Relay se réabonne désormais aux événements SMB lorsqu'il reçoit l'erreur Win32 signalant que « le compte n'est pas autorisé à se connecter depuis cette station ».
Tenable Identity Exposure a amélioré la précision des rapports sur le nombre d'utilisateurs de licence en résolvant un problème qui augmentait occasionnellement et temporairement ce nombre.
Le script IoA actualise désormais les paramètres informatiques de la GPO de l'IOA uniquement pendant l'installation, éliminant ainsi le besoin d'interaction avec l'utilisateur.
Le motif du port RPC dynamique a entièrement migré vers la vérification de l'état du système de collecte de données du domaine.
Les améliorations apportées aux règles de corrélation de l'IoA fournissent désormais des vecteurs d'attaque plus précis pour l'IoA Petit Potam.

Tenable Identity Exposure 3.91.1 (2025-04-08)

La version 3.91.1 de Tenable Identity Exposure contient le correctif suivant :

Correctifs
Le motif de la vérification de l'état du système « Connexion au port dynamique RPC fonctionnelle » a été déplacé vers la vérification de l'état du système Analyse privilégiée.

Tenable Identity Exposure 3.91 (2025-04-02)

  • Groupe non essentiel — Ce nouvel indicateur d'exposition (IoE) signale les groupes vides et ceux qui ne comptent qu'un seul membre.

    Remarque : l'IoE Groupe non essentiel a été initialement lancé sous la forme de deux IoE distincts (Groupe AD vide et Groupe AD à membre unique) parallèlement au Centre d'exposition le 5 février 2025. Ces deux IoE ont ensuite été déplacés vers la vue Indicateur d'exposition, dans un souci de cohérence avec les autres IoE liés à AD. Le nouvel IoE Groupe non essentiel fusionne ces précédents IoE en une seule entité.

  • Suppression du suffixe /Default des noms Instance d'exposition, car Tenable Identity Exposure considère que toutes les faiblesses proviennent d'une seule instance.

  • Les pages Identités 360 et Vue d'ensemble de la cyber-exposition redirigent désormais vers la page Instances d'exposition lors de l'exploration des faiblesses associées.

La version 3.91 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
L'indicateur d'attaque (IoA) Extraction NTDS résout désormais correctement l'attribut de vecteur d'attaque source Username.
Suppression de la contrainte qui empêchait la désélection de tous les domaines dans la configuration de l'IoA, éliminant ainsi les erreurs de vérification de l'état du système causées par des GPO manquantes.
Le motif « Absence de GPO définissant un paramètre de mot de passe » de l'indicateur d'exposition (IoE) Stratégies de mots de passe faibles appliquées aux utilisateurs ne signale plus une déviance faussement positive sur le dossier Politiques du domaine.

Tenable Identity Exposure 3.90 (2025-03-19)

  • Serveurs Exchange non pris en charge ou obsolètes — Ce nouvel indicateur d'exposition (IoE) détecte les serveurs Exchange obsolètes que Microsoft ne prend plus en charge, ainsi que ceux qui n'ont pas reçu les dernières mises à jour cumulées. Pour maintenir un environnement Exchange sûr et entièrement pris en charge, occupez-vous rapidement des serveurs obsolètes ou non corrigés. À défaut, vous risquez d'augmenter le risque d'exploitation, exposant ainsi votre organisation à des violations des données et à des attaques par ransomware.

  • L'IoE Paramétrages dangereux sur des serveurs ADCS signale désormais la vulnérabilité ESC9, en désignant les modèles de certificat ayant le certificat non sécurisé CT_FLAG_NO_SECURITY_EXTENSION comme déviants.

  • Les pages Vue d'ensemble de la cyber-exposition et Instances d'exposition affichent désormais les noms des tenants des fournisseurs de données d'identité (domaine AD, tenant (ou locataire) Entra ID, etc.) où l'IoE a identifié des détections de sécurité.

La version 3.90 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Les utilisateurs/l'ordinateur supprimé(s) ou désactivé(s) ne génère(nt) plus de déviances si vous n'avez pas explicitement défini les options « Conserver les comptes/objets supprimés » ou « Conserver les comptes/objets déactivés » sur vrai dans vos profils de sécurité.
Le filtre Vue d'ensemble de la cyber-exposition sur la propriété « Sources » ne suggère plus de valeurs non pertinentes.
Après la suppression d'un objet identifié comme déviant dans l'IoE Restrictions d'authentification des utilisateurs avec privilèges, la déviance associée se referme correctement.
Tenable Identity Exposure a amélioré l'isolement de la recherche d'entrées entre les pages Domaines et Honey account (Compte leurre).
Tenable Identity Exposure collecte désormais les contacts Active Directory et Entra ID. Il n'identifie plus comme vides les groupes qui contiennent uniquement des contacts comme membres. De plus, les données de contact AD et Entra ID apparaissent sous Tenable Inventory en tant que ressources.
Tenable Identity Exposure a corrigé l'absence de paramètre pour la période des données dans la configuration du rapport.
Tenable Identity Exposure a ajouté de nouvelles informations contextuelles en lien avec les problèmes de connexion LDAP.

Tenable Identity Exposure 3.89 (2025-03-10)

  • Identités 360

    • Amélioration des temps de chargement de diverses pages d'« Identités 360 », en particulier lors de la visualisation des onglets « Accès » et « Droit d'accès » d'un asset.

    • Tenable Identity Exposure rassemble désormais les droits d'accès Active Directory plus rapidement. Les données sont ainsi disponibles plus tôt après la configuration du produit sur la page « Identités 360 », sous l'onglet Droit d'accès des détails de l'asset. Tenable Identity Exposure se concentre uniquement sur les droits d'accès qui ont un impact sur le contexte de sécurité de nos clients.

  • Indicateurs d'exposition (IoE)

    • Certificats associés aux comptes — Cet IoE signalait précédemment les utilisateurs avec privilèges avec seulement deux types de mappages : X509IssuerSubject et X509SubjectOnly. Sa portée d'origine a été élargie pour inclure des mappages supplémentaires — X509RFC822, X509IssuerSerialNumber, X509SKI et X509SHA1PublicKey.

    • Certificats associés aux comptes — Tenable Identity Exposure a amélioré cet IoE pour signaler les mappages de certificats explicites faibles et ainsi lutter contre la technique d'abus AD CS ESC14.

    • Groupe AD/Entra à membre unique — L'IoE affiche désormais le membre du groupe dans la description « Pourquoi c'est important ».

    • Principal de service propriétaire (ou interne) avec identifiants — L'IoE affiche désormais les détails des informations d'identification identifiées dans la description « Pourquoi c'est important ».

    • Groupe AD/Entra à membre unique et Groupe vide — Ces IoE ne comptabilisent désormais que les membres directs pour des résultats plus précis et significatifs.

    • Personnalisation du profil de sécurité — La description des options « Propriétaire autorisé d'un objet (par appartenance à un groupe) » a été améliorée pour les IoE concernés.

  • Vérifications de l'état du système

    • Autorisations de collecter les données du domaine — Les détails « Autorisations accordées pour collecter les données privilégiées » sont désormais masqués lorsque l'analyse privilégiée est désactivée dans l'interface utilisateur. Assurez-vous que votre Relay est à jour pour pouvoir utiliser cette fonctionnalité.

    • Accessibilité du domaine — Le motif de l'inaccessibilité du domaine est désormais mieux précisé.

La version 3.89 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Par défaut, Tenable Identity Exposure trie désormais les noms des faiblesses par ordre croissant sur la page Instances d'exposition.
La Vue d'ensemble de la cyber-exposition n'affiche plus de faiblesses non liées aux identités.
Tenable Identity Exposure a amélioré la lisibilité des informations de pagination sur « Vue d'ensemble des identités » et « Vue d'ensemble de la cyber-exposition ».
Tenable Identity Exposure a amélioré la détection et le rapprochement des groupes Active Directory pour les utilisateurs de Tenable One.
Dans « Vue d'ensemble des identités », il est désormais possible de voir les noms complets en développant les valeurs de la propriété « Noms des tenants d'identité ».
Tenable Identity Exposure gère désormais correctement l'événement n° 4624 dans la dernière version de Windows.
Lorsque la machine d'un attaquant quitte un domaine, l'indicateur d'attaque DCSync peut désormais déclencher des alertes en mode standard.
Tenable Identity Exposure gère désormais correctement le fait d'ignorer ou non tous les objets déviants sélectionnés via une expression.
Tenable Identity Exposure garantit désormais la bonne suppression du service Envoy lors de la désinstallation du Secure Relay, même s'il est installé avec Directory Listener.
Tenable Identity Exposure applique désormais correctement le filtrage des motifs sélectionnés lors de la sélection d'objets déviants (le cas échéant).
Tenable signe désormais numériquement le script permettant de configurer les indicateurs d'attaque, ce qui évite que des outils de sécurité externes ne le signalent comme risque potentiel en raison de l'absence de signature.

Tenable Identity Exposure 3.88 (2025-02-20)

  • L'indicateur d'exposition (AD) « Paramétrages dangereux sur Exchange » répertorie les mauvaises configurations qui impactent les ressources Exchange ou les objets sous-jacents du schéma Active Directory.

La version 3.88 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
L'écouteur d'indicateur d'attaque (IoA) libère désormais efficacement de la mémoire, corrigeant un problème introduit dans la version 3.86. Cela affecte uniquement les clients qui ont installé des IoA dans les versions 3.86 ou 3.87. Ces clients doivent réinstaller les IoA dans la version 3.88.
Dans le Centre d'exposition, les assets impactés ayant un statut « Résolu » ne mènent plus à une page blanche sans données.
Certains textes liés aux faiblesses affichés dans les instances d'exposition sont désormais mieux structurés, ce qui améliore la clarté et la lisibilité.
Le texte lié aux faiblesses dans les instances d'exposition affiche désormais des puces sans sauts de ligne inutiles, améliorant ainsi la lisibilité et la cohérence.
Les redirections depuis « Identités 360 » vers Tenable One n'aboutissent plus à des pages blanches.
Les info-bulles sur les valeurs de grille de la « Vue d'ensemble des identités » n'apparaissent plus en double pour les propriétés avec des info-bulles personnalisées.
Les pages de détails sur les identités peuvent à nouveau générer le récapitulatif IA de l'asset.
Les lignes sélectionnées pour l'exportation dans « Identités 360 » et « Vue d'ensemble de la cyber-exposition » restent désormais sélectionnées une fois l'exportation terminée.
La désinstallation du Secure Relay ne supprime plus le dossier Tools partagé avec Ceti (Directory Listener). Lorsque les deux sont installés sur la même machine, le dossier Tools reste désormais intact, préservant le fichier binaire nssm.
Lorsque vous ajoutez des colonnes dans la « Vue d'ensemble de la cyber-exposition », vous pouvez désormais les sélectionner pour l'exportation de données.
Sur la page des détails de l'instance d'exposition, la colonne « Classe de l'asset » peut désormais être tronquée si nécessaire, auquel cas une info-bulle affichera la valeur complète.
Les scripts de remédiation du Centre d'exposition ont désormais un préfixe avec le nom de la faiblesse localisé.
De plus en plus d'éléments de texte de l'interface utilisateur du Centre d'exposition prennent désormais en charge la localisation.
Les hyperliens affichés sur les pages des instances d'exposition ciblant la documentation Microsoft renvoient à la version localisée de la documentation.
Les exportations CSV d'« assets impactés » dans les instances d'exposition affichent désormais des noms d'en-têtes de colonne localisés.
Tenable Identity Exposure a amélioré la sécurité des websockets.
Le texte de description des hyperliens dans les instances d'exposition est désormais renvoyé à la ligne lorsqu'il dépasse l'espace disponible.
La vérification de l'état du système « Activité des contrôleurs de domaine » détecte désormais les contrôleurs de domaine inactifs dans une fenêtre de 15 minutes en fonction de l'activité des journaux d'événements des indicateurs d'attaque. Si elle attend toujours la fin de cette fenêtre avant de signaler les échecs, la vérification signale désormais les réussites et réactive les contrôleurs de domaine beaucoup plus rapidement. De plus, un correctif garantit que la vérification de l'état du système utilise des données à jour.
Tenable Identity Exposure a amélioré la résilience de l'application grâce à une gestion adéquate des erreurs de canal RabbitMQ lors de la publication de messages.
L'onglet Déviances s'affiche correctement lorsque vous cliquez sur des événements dans le Trail Flow.
Les exportations CSV d'« Identités 360 » gèrent désormais correctement les données contenant des guillemets doubles.

Tenable Identity Exposure 3.87 (2025-02-06)

  • Centre d'exposition — Suppression des références au classement VPR (Vulnerability Priority Rating) de la Vue d'ensemble de la cyber-exposition, car Tenable Identity Exposure ne renseigne pas ces scores pour les indicateurs d'exposition liés aux identités.

La version 3.87 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Dans « Identités 360 », la source de faiblesse « TENABLE_IDENTITY_EXPOSURE » n'est plus dupliquée.
L'indicateur d'attaque Golden Ticket déclenche désormais une alerte lorsque l'attaquant utilise un ticket TGT forgé en mode standard.
Tenable Identity Exposure a résolu la vulnérabilité de sécurité CVE-2022-24434 qui affecte certains composants logiciels, permettant potentiellement aux attaquants d'exploiter des faiblesses telles que l'élévation de privilèges, l'exécution de code à distance ou le déni de service.
Tenable Identity Exposure a résolu un problème à cause duquel le déclenchement de la mise à jour d'une stratégie de groupe pouvait entraîner le blocage de l'écouteur de journalisation des événements Tenable dans l'attente d'une entrée interactive de l'utilisateur.

Tenable Identity Exposure (2025-02-05)

  • Centre d'exposition — Le Centre d'exposition est une fonctionnalité de Tenable Identity Exposure qui améliore la posture de sécurité des identités de votre organisation. Il identifie les faiblesses et les mauvaises configurations sur votre surface de risques liés aux identités, et couvre aussi bien les systèmes d'identité sous-jacents, tels qu'Entra ID, que les identités au sein de ces systèmes.

    L'expérience utilisateur de cette fonctionnalité s'articule autour de trois concepts interdépendants : la vue d'ensemble de la cyber-exposition, les instances d'exposition et les détections. Tenable Research prend en charge ces concepts avec un nouveau moteur de sécurité et des indicateurs d'exposition (IoE) conçus spécialement pour optimiser leurs fonctionnalités.

    Pour plus d'informations, voir Centre de l'exposition dans le Guide de l'utilisateur Tenable Identity Exposure.

  • Nouveaux indicateurs d'exposition Entra ID

    Nom Description
    Capacité des comptes standards à enregistrer des applications Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications au sein du tenant. Bien que cette fonctionnalité soit pratique et ne constitue pas une vulnérabilité de sécurité immédiate, elle présente certains risques. Par conséquent, conformément aux bonnes pratiques, Tenable recommande de désactiver cette fonctionnalité.
    Applications permettant l'authentification multi-tenant Les applications Entra, qui permettent l'authentification multi-tenant, peuvent fournir un accès non autorisé à des utilisateurs malveillants si cette configuration n'a pas été activée en toute connaissance de cause et sans mettre en œuvre des contrôles d'autorisation adéquats dans le code de l'application.
    Une stratégie d'accès conditionnel désactive l'évaluation continue des accès L'évaluation continue des accès est une fonctionnalité de sécurité Entra ID qui permet de réagir rapidement aux modifications de stratégie de sécurité ou aux mises à jour de statut des utilisateurs. Il est donc important de ne pas la désactiver.
    Autorisations d'application dangereuses affectant le tenant Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra.
    Autorisations déléguées dangereuses affectant le tenant Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra.
    Comptes désactivés assignés à un rôle privilégié Il est crucial de surveiller les attributions à des rôles privilégiés pour assurer une gestion saine des comptes.
    Appareils dormants Les appareils dormants posent des risques de sécurité tels que des configurations obsolètes et des vulnérabilités non corrigées. En l'absence de surveillance et de mises à jour régulières, ces appareils obsolètes deviennent des cibles potentielles d'exploitation, compromettant ainsi l'intégrité des tenants et la confidentialité des données.
    Utilisateurs dormants sans privilèges Les utilisateurs dormants sans privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque.
    Utilisateurs dormants avec privilèges Les utilisateurs dormants avec privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque.
    Groupes dynamiques dotés d'une règle exploitable Les attaquants peuvent exploiter les groupes dynamiques dans Microsoft Entra ID en manipulant des attributs d'auto-modification, leur permettant ainsi de s'ajouter en tant que membres d'un groupe. Cette manipulation permet une élévation de privilèges et un accès non autorisé à des ressources sensibles liées aux groupes.
    Groupes Entra vides Les groupes vides peuvent créer de la confusion, compromettre la sécurité et nuire à l'utilisation optimale des ressources. Il est généralement recommandé d'établir un but clair pour les groupes et de s'assurer qu'ils contiennent les membres concernés.
    Paramètres de sécurité Entra par défaut non activés Les paramètres de sécurité par défaut Entra ID sont des paramètres préconfigurés et recommandés par Microsoft pour améliorer la protection des tenants.
    Liste de domaines fédérés La configuration malveillante de domaines fédérés constitue une menace courante, utilisée par les attaquants comme porte dérobée d'authentification vers le tenant Entra ID. La vérification des domaines fédérés existants et nouvellement ajoutés est essentielle pour garantir la fiabilité et la légitimité de leurs configurations. Cet indicateur d'exposition fournit une liste complète des domaines fédérés et de leurs attributs pertinents, afin de vous aider à prendre des décisions éclairées concernant leur statut de sécurité.
    Non-concordance des certificats de signature de fédération Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant un certificat de signature de jeton malveillant, ce qui permet la persistance et l'élévation des privilèges.
    Principal de service propriétaire (ou interne) avec identifiants Les principaux de service propriétaires (ou internes) disposent de puissantes autorisations, mais sont souvent négligés en raison de leur volume élevé, d'un manque de visibilité et du fait qu'ils sont détenus par Microsoft. Les attaquants peuvent profiter de cette situation en ajoutant des identifiants à ces principaux, ce qui leur permet d'exploiter discrètement leurs autorisations à des fins d'élévation de privilèges et de persistance.
    Comptes invités disposant d'un rôle avec privilèges Les comptes invités sont des identités externes qui peuvent poser un risque de sécurité lorsque des rôles privilégiés leur sont assignés. Cela accorde des privilèges substantiels au sein du tenant à des personnes externes à votre organisation.
    Comptes invités disposant d'un accès identique aux comptes normaux Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant.
    Nombre d'administrateurs élevé Un nombre d'administrateurs important augmente la surface d'attaque et présente des risques de sécurité en raison de leurs privilèges élevés. Cela traduit également un non-respect du principe du moindre privilège.
    Porte dérobée de domaine fédéré connue Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant leur propre domaine fédéré malveillant, ce qui permet la persistance et l'élévation des privilèges.
    Authentification héritée non bloquée Les méthodes d'authentification héritées ne prennent pas en charge l'authentification multifacteur (MFA), ce qui permet aux attaquants de continuer à lancer des attaques par force brute, par envoi massif d'identifiants et par pulvérisation de mot de passe.
    Authentification multifacteur manquante pour comptes sans privilèges L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier.
    Authentification multifacteur manquante pour comptes avec privilèges L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier.
    Authentification multifacteur non requise pour rôle avec privilèges L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes avec privilèges disposant de rôles privilégiés.
    Authentification multifacteur non requise pour connexions à risque L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'exiger une authentification MFA pour les connexions risquées, par exemple lorsque la demande d'authentification pourrait ne pas provenir du propriétaire légitime de l'identité.
    Appareils jamais utilisés Évitez les comptes d'appareils précréés et jamais utilisés, car ils indiquent une mauvaise hygiène de sécurité et peuvent potentiellement poser des risques.
    Utilisateurs sans privilèges jamais utilisés Les comptes utilisateur sans privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants.
    Utilisateurs avec privilèges jamais utilisés Les comptes utilisateur avec privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants.
    Protection par mot de passe non activée pour les environnements sur site La protection des mots de passe de Microsoft Entra est une fonctionnalité de sécurité qui empêche les utilisateurs de définir des mots de passe faciles à deviner, afin de renforcer la sécurité globale des mots de passe dans une organisation.
    Stratégie de nommage des comptes avec privilèges Il est essentiel d'adopter une stratégie de nommage pour les utilisateurs avec privilèges dans Entra ID à des fins de sécurité, de normalisation et de conformité aux audits. En outre, elle facilite l'administration.
    Comptes Entra privilégiés synchronisés avec Active Directory (hybride) Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles avec privilèges dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ».
    Comptes Entra privilégiés avec accès aux services Microsoft 365 Vous devez disposer de comptes Entra distincts pour les tâches d'administration : un compte standard pour un usage quotidien et un compte privilégié dédié pour les activités administratives. Cette approche réduit la surface d'attaque du compte privilégié, améliorant ainsi la sécurité.
    Groupes Microsoft 365 publics Les groupes Microsoft 365 stockés dans Entra ID sont publics ou privés. Les groupes publics posent un risque de sécurité, car n'importe quel utilisateur du tenant peut les rejoindre et accéder à leurs données (chats/fichiers des équipes, e-mails, etc.).
    Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator Pour une meilleure visibilité, activez les notifications de Microsoft Authenticator afin d'afficher du contexte supplémentaire, comme le nom de l'application et la géolocalisation. Cela aide les utilisateurs à identifier et à refuser les demandes d'authentification MFA ou sans mot de passe potentiellement malveillantes, atténuant ainsi le risque d'attaques par demande d'authentification répétée.
    Groupe Entra à membre unique Il est déconseillé de créer un groupe avec un seul membre, car cela introduit de la redondance et de la complexité. Cette pratique complique inutilement la gestion en ajoutant des couches et diminue l'efficacité prévue des groupes pour la rationalisation du contrôle et de la gestion des accès.
    Attribution suspecte du rôle « Comptes de synchronisation d'annuaires » Les « Comptes de synchronisation d'annuaires » sont un rôle privilégié dans Entra, caché dans les portails Azure et Entra ID. Ils sont généralement désignés pour les comptes de service Microsoft Entra Connect (anciennement Azure AD Connect). Toutefois, des acteurs malveillants peuvent exploiter ce rôle pour des attaques secrètes.
    Fonction de passe d'accès temporaire (TAP) activée La fonctionnalité TAP (passe d'accès temporaire) est une méthode d'authentification temporaire qui utilise un mot de passe limité dans le temps ou à usage limité. Bien qu'il s'agisse d'une fonctionnalité légitime, il est plus sûr de la désactiver afin de réduire la surface d'attaque si votre organisation n'en a pas besoin.
    Comptes invités non restreints Par défaut, Entra ID limite l'accès des utilisateurs invités afin de réduire leur visibilité auprès du tenant. Il est également possible d'améliorer la sécurité et la confidentialité en renforçant ces restrictions.
    Consentement non restreint des utilisateurs pour les applications Entra ID permet aux utilisateurs de donner en toute autonomie leur consentement pour l'accès d'applications externes aux données de l'organisation, ce qui pourrait être exploité par des attaquants lors d'attaques « octroi de consentement illicite ». Empêchez cela en restreignant l'accès aux éditeurs vérifiés ou en exigeant l'approbation de l'administrateur.
    Période de validité inhabituelle du certificat de signature de fédération Une période de validité anormalement élevée pour un certificat de signature de fédération est suspecte, car elle pourrait indiquer qu'un attaquant a obtenu des privilèges élevés dans Entra ID et a créé une porte dérobée via le mécanisme d'approbation de la fédération.
    Domaines non vérifiés Vous devez confirmer la propriété de tous les domaines personnalisés dans Entra ID. Les domaines non vérifiés ne doivent être conservés que temporairement : vous devez soit les vérifier, soit les supprimer, afin de maintenir une liste de domaines ordonnée et de faciliter des vérifications efficaces.

Tenable Identity Exposure 3.86 (2025-01-23)

  • Indicateur d'exposition — Un nouvel IoE, Informations Entra ID hybrides, fournit des informations sur les données Microsoft Entra ID répliquées vers Active Directory sur site, pour permettre aux organisations d'identifier les risques de sécurité potentiels et de traiter les incohérences dans les politiques.

  • Indicateurs d'exposition

    • Paramétrages dangereux sur des comptes de service administrés — Cet IoE a été amélioré pour inclure la prise en charge des groupes, simplifiant ainsi le contrôle d'accès à un compte de service géré par groupe (gMSA).

    • S'assurer de la cohérence de SDProp — Amélioration des recommandations.

    • Shadow Credentials — Amélioration des recommandations de remédiation de la vulnérabilité ROCA (Return of Coppersmith's Attack). Introduction d'une nouvelle option pour supprimer les faux positifs potentiels liés aux environnements hybrides avec Entra ID lorsque la fonction « réécriture de l'appareil » est désactivée. Cela a un impact sur le motif « Identifiants de clé orpheline » de cet IoE.

    • Deux nouvelles options pour améliorer le contrôle de la propriété et des autorisations des objets en fonction de l'appartenance à un groupe :

    • Propriétaire autorisé d'un objet (par appartenance à un groupe) : permet de désigner les principaux de sécurité comme propriétaires d'objets via leur appartenance à un groupe.

    • Liste des DN de confiance autorisés (par appartenance à un groupe) : permet l'attribution d'autorisations spéciales aux principaux de sécurité en fonction de leur appartenance à un groupe.

  • Indicateur d'attaque — Le texte du vecteur d'attaque de l'IoA Golden Ticket a été amélioré.

  • Attributs et types d'approbation dans les services d'annuaire

    • L'attribut trustType prend désormais en charge la valeur TTAAD (TRUST_TYPE_AAD).

    • L'attribut trustAttributes prend désormais en charge la valeur TDAV (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

  • Fonction d'exportation — Les utilisateurs peuvent choisir le séparateur (virgule ou point-virgule) lors d'une exportation CSV, pour l'adapter facilement à de nombreux cas d'utilisation. Le navigateur se souvient du dernier séparateur utilisé lors des exportations suivantes.

La version 3.86 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
L'interface web peut désormais gérer les caractères spéciaux signalés dans les vérifications de l'état du système.
L'IoE Délégation Kerberos dangereuse comprend désormais tous les attributs incriminants relatifs au SPN orphelin.
Dans la vue des assets, les nœuds Tier 0 sont désormais systématiquement disponibles.
Tenable Identity Exposure empêche désormais l'enregistrement dans les journaux d'activité des appels non authentifiés avec des services internes, garantissant ainsi des enregistrements de journaux plus clairs et plus précis.
La vérification de l'intégrité des versions du collecteur de données et du Relay est désormais considérée comme correcte (de couleur verte) si les numéros de version majeure et mineure du Relay et du collecteur de données sont identiques, ou si leurs numéros de version mineure ne diffèrent que d'un incrément. Cela confère une certaine souplesse pour les mises à jour automatiques ou lorsque la mise à jour du logiciel est légèrement en avance sur la plateforme pendant les déploiements.
Tenable Identity Exposure n'empêche plus l'analyse de réussir si la collecte de données sensibles n'est pas correctement configurée.
Tenable Identity Exposure a amélioré la vitesse d'analyse des journaux d'événements Windows, empêchant ainsi le produit d'accumuler du retard. Vous devez redéployer les indicateurs d'attaque pour bénéficier de cette modification.

Tenable Identity Exposure (2025-01-10)

  • Identités 360 — Cette nouvelle fonctionnalité centrée sur l'identité dans Tenable Identity Exposure fournit un inventaire riche et exhaustif de chaque identité sur la surface de risque d'identité de l'organisation.

    Cette fonctionnalité unifie les identités à travers Active Directory et Entra ID et permet de les classifier selon leur niveau de risque, de sorte que vous pouvez classer les identités dans votre organisation des plus risquées aux moins risquées.

    De plus, « Identités 360 » permet aux utilisateurs d'acquérir une compréhension approfondie de chaque identité à travers différents prismes contextuels tels que les comptes, les faiblesses et les appareils associés à une identité donnée pour obtenir un tableau complet de cette identité.

    Pour plus d'informations, voir Identités 360 dans le Guide de l'utilisateur Tenable Identity Exposure.

Tenable Identity Exposure 3.85 (2025-01-08)

La version 3.85 de Tenable Identity Exposure contient les correctifs suivants :

Correctifs
Tenable Identity Exposure récupère désormais l'attribut pwdLastSet précédent pour calculer l'intervalle entre deux réinitialisations de mot de passe lors des attaques signalées par l'IoA Changement de mot de passe suspect sur un DC.
Tenable Identity Exposure a corrigé les options « Seuil de verrouillage » et « Durée de verrouillage » dans l'IoE Stratégies de mots de passe faibles appliquées aux utilisateurs, vous permettant ainsi d'autoriser les déviances lorsque leurs valeurs sont égales à 0.
L'IoA Dumping des identifiants système résout désormais correctement l'adresse IP source, le nom d'hôte source et l'IP cible lorsque l'attaque est déclenchée par NT AUTHORITY\SYSTEM.
Tenable Identity Exposure a résolu une vulnérabilité de divulgation d'informations d'authentification afin d'empêcher les administrateurs d'extraire les informations d'authentification de compte SMTP stockées.