Un chercheur en cybersécurité révèle que Microsoft Edge conserve les mots de passe des utilisateurs en clair dans la mémoire vive, une pratique jugée risquée mais assumée par la firme.
Tom Jøran Sønstebyseter Rønning, chercheur norvégien spécialisé en cybersécurité, a découvert que le gestionnaire de mots de passe de Microsoft Edge stocke les mots de passe des utilisateurs… en clair. Dans le détail, Edge déchiffre les mots de passe enregistrés dès l’ouverture du navigateur, puis les conserve en mémoire pendant toute la durée de la session.
« Si un attaquant obtient des privilèges administrateur sur un serveur de terminaux, il peut accéder à la mémoire des processus de tous les utilisateurs connectés », met en garde le chercheur, qui a signalé ce comportement à la firme de Redmond. Cette dernière lui a répondu que ce fonctionnement était « conforme à la conception » ou « by design ».
Chrome fait mieux
« Edge est le seul navigateur basé sur Chromium que j’ai testé à fonctionner de cette manière », explique le chercheur. « Chrome ne déchiffre les identifiants qu’au moment où ils sont nécessaires, au lieu de conserver tous les mots de passe en mémoire en permanence. »
Chrome s’appuie notamment sur le mécanisme App-Bound Encryption (ABE), qui chiffre les données du navigateur et lie leur déchiffrement à un processus Chrome authentifié. Les mots de passe en clair n’apparaissent ainsi que brièvement, lors de l’autoremplissage ou lorsque l’utilisateur choisit de les afficher. Les attaques de type memory scraping deviennent alors beaucoup moins efficaces.
Le chercheur a également présenté un outil pédagogique, qu’il prévoit de publier sur GitHub, permettant aux utilisateurs de vérifier que leurs identifiants sont effectivement stockés en clair dans la mémoire du navigateur.
