Un chercheur en cybersécurité a mis en évidence une vulnérabilité de sécurité importante dans Microsoft Edge, révélant que le navigateur charge tous les mots de passe enregistrés en mémoire en texte brut au démarrage. Ce comportement se produit que l’utilisateur ait ou non l’intention d’utiliser le gestionnaire de mots de passe au cours de cette session, exposant potentiellement les informations d’identification aux attaquants ayant obtenu un accès administratif au périphérique.
La vulnérabilité : texte brut en mémoire
Tom Jøran Sønstebyseter Rønning, chercheur en cybersécurité, a détaillé le problème sur X (anciennement Twitter). Il a découvert que Microsoft Edge déchiffre chaque mot de passe stocké et le conserve dans la mémoire de l’ordinateur dès le lancement du navigateur.
Cela contraste fortement avec les autres navigateurs basés sur Chromium, tels que Google Chrome. Rønning a noté que Chrome utilise une conception architecturale différente qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe enregistrés simplement en lisant la mémoire du processus.
“Edge est le seul navigateur basé sur Chromium que j’ai testé et qui se comporte de cette façon”, a déclaré Rønning.
Le risque est particulièrement aigu dans les environnements partagés ou gérés. Comme l’explique Rønning, si un attaquant obtient un accès administratif sur un serveur de terminaux, il peut accéder à la mémoire de tous les processus utilisateur connectés, récupérant ainsi efficacement les mots de passe sans avoir besoin de contourner les clés de cryptage stockées sur le disque.
Réponse de Microsoft : c’est « par conception »
Contacté à propos de ces conclusions, Microsoft a défendu l’architecture du navigateur. Un porte-parole a déclaré à Mashable que ce comportement est une fonctionnalité attendue destinée à équilibrer les performances, la convivialité et la sécurité.
“La sûreté et la sécurité sont fondamentales pour Microsoft Edge”, a déclaré le porte-parole. “L’accès aux données du navigateur tel que décrit dans le scénario signalé nécessiterait que l’appareil soit déjà compromis… Les navigateurs accèdent aux données de mot de passe en mémoire pour aider les utilisateurs à se connecter rapidement et en toute sécurité.”
Microsoft a souligné que ce choix de conception facilite les connexions rapides et sécurisées pour les utilisateurs. Cependant, ils ont reconnu que cette commodité s’accompagne de compromis, recommandant aux utilisateurs de maintenir à jour leurs mises à jour de sécurité et leurs logiciels antivirus pour atténuer les risques.
Normes industrielles et mise en œuvre
Cette révélation a déclenché un débat sur les meilleures pratiques en matière de cybersécurité. La publication technologique allemande Heise Online a reproduit avec succès le problème et a souligné que les protocoles de sécurité établis exigent généralement que les mots de passe ne soient déchiffrés au moment de leur utilisation et supprimés de la mémoire immédiatement après.
En gardant tous les mots de passe décryptés en mémoire tout au long de la session, Edge s’écarte de ce principe. Alors que Microsoft affirme que cela améliore l’expérience utilisateur en garantissant que les mots de passe sont prêts à être utilisés immédiatement, les experts en sécurité affirment que cela augmente inutilement la surface d’attaque si l’appareil est compromis.
Ce que cela signifie pour les utilisateurs
Cet incident soulève des questions importantes sur la manière dont les géants de la technologie équilibrent commodité et sécurité. Bien qu’il soit pratique d’avoir des mots de passe facilement accessibles, leur stockage en texte brut en mémoire crée un point de défaillance unique en cas de violation du système d’exploitation ou du navigateur.
Pour les utilisateurs préoccupés par cette vulnérabilité spécifique, les experts suggèrent deux pistes d’action principales :
– Utilisez un gestionnaire de mots de passe dédié : Les gestionnaires de mots de passe tiers offrent souvent un contrôle plus précis sur la manière et le moment où les informations d’identification sont déchiffrées et stockées en mémoire.
– Garantir une sécurité robuste de l’appareil : Étant donné que l’exploitation de la vulnérabilité nécessite un accès administratif, il est essentiel de maintenir à jour le système d’exploitation et le logiciel antivirus pour éviter la compromission initiale.
En résumé, même si Microsoft maintient que la gestion des mots de passe d’Edge est un choix de conception délibéré pour des raisons de performances, la pratique consistant à stocker tous les mots de passe en texte brut en mémoire reste un écart notable par rapport aux normes de sécurité plus strictes, invitant les utilisateurs à rester vigilants quant à l’intégrité des appareils.
