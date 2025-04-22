Les services Power Platform de Microsoft proposent une plateforme low code/no-code (LCNC) qui inclut l’analytique (Power BI), le développement de sites Web (Power Pages), les assistants virtuels (Power Virtual Agent) et une sorte de développement d’« application complète » (Power Apps). Ces plateformes peuvent permettre à des utilisateurs professionnels moins techniques de créer des solutions qui, traditionnellement, nécessiteraient un développeur plus technique ayant une expérience de la programmation.

Si les plateformes LCNC peuvent être un outil puissant pour les utilisateurs métier, les développeurs de la plateforme doivent veiller à ce que la sécurité soit intégrée à chaque étape. Les utilisateurs métier sans expérience formelle en programmation peuvent ne pas posséder le même niveau de sensibilisation à la sécurité qu’un développeur logiciel moderne. Cela peut augmenter la probabilité que des erreurs de configuration soient introduites par les utilisateurs dans ces plateformes LCNC.

Dans cet article de blog, nous allons voir comment, en 2022, l’équipe Adversary Simulation de X-Force Red a combiné une mauvaise configuration utilisateur courante à un problème de contournement de sécurité toujours présent sur la plateforme Power Apps de Microsoft. Cela a permis à X-Force Red de franchir un périmètre externe renforcé et d’obtenir l’exécution de code sur un serveur SQL sur site, ce qui a finalement abouti à la compromission totale d’Active Directory.