CVE-2026-35435 : la faille zero-day qui expose les agents IA de Microsoft
Microsoft vient de confirmer une faille de sécurité dans Azure AI Foundry. Le score CVSS atteint 8,6 sur 10. La vulnérabilité permet l’élévation de privilèges à distance via des tokens forgés. Tes emails Outlook, tes fichiers SharePoint, tes conversations Teams. Tout est exposé.
CVE-2026-35435 disclose par Microsoft le 7 mai 2026
CVSS 8.6 (Important), exploitation jugée probable
Élévation de privilèges via tokens d’autorisation forgés
Impact : Outlook, Teams, SharePoint, OneDrive
73 % des entreprises auront un agent IA en production fin 2026 (Gartner)
Une faille dans le runtime des agents IA
La vulnérabilité touche Azure AI Foundry et M365 Published Agents runtime. C’est le moteur qui permet aux agents IA de se connecter aux services Microsoft. Outlook, Teams, SharePoint, OneDrive. Tout passe par ce runtime. Et le contrôle d’accès est défaillant.
Un attaquant peut forger des tokens d’autorisation. Ces tokens lui donnent accès à des ressources auxquelles il ne devrait pas avoir accès. Imagine. Tu crées un agent IA pour analyser tes données Excel. Un pirate utilise la faille pour accéder à tes emails confidentiels via le même agent.
Patché, mais pas fini
Microsoft a déployé un correctif côté serveur. Tu n’as rien à installer côté client. Mais attention. Un correctif serveur ne suffit pas toujours. Les tokens forgés avant le patch peuvent encore être valides. Et si un attaquant a déjà établi un accès persistant, le correctif ne le supprime pas.
⚠️ Actions immédiates recommandées
Inventorie tous tes agents IA dans Azure AI Foundry. Désactive ceux qui ne sont pas critiques. Renforce les permissions RBAC. Active le logging verbose. Configure Azure Private Link pour isoler le trafic. Chaque agent actif est une porte d’entrée potentielle.
Le contexte : les agents IA M365 se multiplient
Cette faille arrive à un moment critique. Microsoft pousse fort ses agents IA intégrés à M365. Copilot pour Outlook, Teams, Excel. Chaque agent publié devient un point d’entrée potentiel vers les données de l’entreprise.
Le problème n’est pas la faille elle-même. C’est la surface d’attaque qui explose. Avant les agents IA, un attaquant devait cibler un utilisateur spécifique. Maintenant, un agent mal configuré donne accès à toutes les données que l’agent peut lire. C’est une différence d’échelle.
Pourquoi cette faille est particulièrement dangereuse
Le score de 8,6 ne dit pas tout. Microsoft qualifie l’exploitabilité de probable. C’est la note la plus élevée avant la certitude d’exploitation. Dans la pratique, ça signifie que des proof-of-concept circulent probablement déjà dans les cercles de chercheurs en sécurité. Et quiconque suit le rythme des disclosures MSRC sait que “probable” signifie souvent “déjà exploité en interne chez les attaquants avancés”.
L’impact est massif. Gartner prévoit que 73 % des entreprises déploieront un agent IA en production d’ici fin 2026. Chaque agent devient un vecteur d’attaque potentiel. Cette faille n’est pas un incident isolé. C’est un signal d’alarme pour toute l’industrie.
⚠️ Ce que la faille expose
Emails Outlook confidentiels
Conversations Teams privées
Documents SharePoint sensibles
Fichiers OneDrive personnels et professionnels
Données partagées entre agents IA
✅ Comment te protéger
Inventorier et désactiver les agents non-critiques
Renforcer les permissions RBAC
Activer le logging verbose pour détecter les anomalies
Utiliser Azure Private Link pour isoler le trafic
Révoquer les tokens suspects immédiatement
Comment fonctionne l’attaque par tokens forgés
Pour comprendre la gravité de CVE-2026-35435, il faut saisir le mécanisme. Azure AI Foundry utilise des tokens d’autorisation pour permettre aux agents IA d’accéder aux services Microsoft. Ces tokens sont émis par le runtime et validés par chaque service cible.
La faille permet de forger des tokens qui bypassent le contrôle d’accès. En pratique, un attaquant peut créer un token qui donne accès à des ressources normalement interdites. Pas besoin de voler des identifiants. Pas besoin de phishing. Juste exploiter la logique de validation des tokens.
Le correctif serveur de Microsoft renforce cette validation. Mais les tokens forgés avant le patch peuvent encore être valides. Et si un attaquant a établi un accès persistant, le correctif ne le supprime pas automatiquement.
Les bonnes pratiques à appliquer dès maintenant
Commence par lister tous les agents IA déployés dans ton organisation. Beaucoup d’entreprises ignorent le nombre réel d’agents actifs. Chaque département en crée sans coordination centrale. Le shadow IT appliqué à l’IA, c’est le scénario catastrophe.
Désactive tout agent qui n’est pas essentiel au business. Réduis la surface d’attaque. Renforce les permissions RBAC en appliquant le principe du moindre privilège. Un agent n’a besoin que des accès strictement nécessaires à sa fonction. Pas plus. Active un logging détaillé. Tu veux voir passer chaque requête, chaque token, chaque connexion suspecte.
Action
Priorité
Effort
Inventaire des agents IA
Immédiate
2-4 heures
Désactivation agents non-critiques
Immédiate
1-2 heures
Renforcement RBAC
Haute
1 journée
Activation logging verbose
Haute
2 heures
Configuration Azure Private Link
Moyenne
2-3 jours
🧠 Quiz
Quel est le score CVSS de la vulnérabilité CVE-2026-35435 ?
Questions fréquentes
Qu’est-ce que CVE-2026-35435 ?▼
Une vulnérabilité de contrôle d’accès dans Azure AI Foundry et M365 Published Agents runtime. Elle permet l’élévation de privilèges via des tokens d’autorisation forgés. Le score CVSS est de 8,6.
Les services Microsoft sont-ils encore vulnérables ?▼
Microsoft a déployé un correctif côté serveur. La faille directe est patchée. Mais les tokens forgés avant le patch peuvent rester valides. Et un accès persistant établi avant le correctif nécessite une révocation manuelle.
Quels services sont impactés par cette faille ?▼
Outlook, Teams, SharePoint et OneDrive sont exposés via les agents IA publiés. Un attaquant peut accéder aux emails, conversations, documents et fichiers via des tokens forgés.
Que dois-je faire en priorité ?▼
Inventorie tous tes agents IA, désactive les non-critiques, renforce les permissions RBAC, active le logging verbose et configure Azure Private Link. Chaque action réduit la surface d’attaque.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Ne te repose pas sur le correctif de Microsoft. Fais l’inventaire de tes agents aujourd’hui même. Tu serais surpris du nombre d’agents orphelins qui tournent encore dans ton organisation. Chacun est une porte que quelqu’un a ouverte et oubliée. Ferme-les avant que quelqu’un d’autre ne les trouve.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
![Claude Opus 4.6 [Avis] - Le nouveau standard en 2026](https://alexitauzin.com/wp-content/uploads/2026/02/claude-opus-4-6-chatgpt-150x150.jpg "Claude Opus 4.6 : l'IA qui pourrait vous faire résilier ChatGPT dès ce matin (voici pourquoi)")
