Microsoft corrige le navigateur Microsoft Edge. L’entreprise évite désormais que les mots de passe enregistrés s’affichent en clair dans la mémoire des processus au démarrage. Microsoft avait d’abord jugé ce comportement normal.
Le chercheur en sécurité Tom Jøran Sønstebyseter Rønning a révélé ce défaut le 4 mai. Il a prouvé que le gestionnaire de mots de passe intégré à Edge déchiffre tous les identifiants dès le lancement. Les identifiants restent en mémoire, même sans utilisation.
Rønning a publié un outil proof-of-concept. Cet outil extrait les mots de passe d’autres processus Edge chez des utilisateurs différents, à condition d’avoir des privilèges d’administrateur. Sans ces droits, l’outil accède seulement aux processus du même utilisateur.
Le chercheur a signalé le problème à Microsoft. L’entreprise a répondu que le comportement relevait de la conception initiale. Rønning a alors divulgué l’information publiquement.
Edge se distingue des autres navigateurs basés sur Chromium. Seul ce navigateur affiche les mots de passe de cette façon. Google Chrome adopte une approche qui complique l’extraction des mots de passe par lecture mémoire.
Microsoft a d’abord refusé de modifier quoi que ce soit. L’entreprise a déclaré à BleepingComputer que ce trait correspondait aux attentes. Mercredi, Microsoft a changé d’avis. Les versions futures d’Edge évitent de charger les mots de passe en mémoire au démarrage. Le scénario signalé entre dans le modèle de menaces existant, qui exclut les attaques par un adversaire déjà maître administrateur du appareil.
Gareth Evans, responsable sécurité d’Edge, a précisé : « Cette modification de défense en profondeur touche toutes les versions prises en charge d’Edge, stables, bêta, de développement, Canary et le canal Étendu Stable pour les clients entreprises. Nous priorisons le déploiement. »
Evans a ajouté : « Grâce à notre engagement dans la Secure Future Initiative et aux retours clients, nous adoptons une vue plus large. Nous vérifions non seulement si un élément franchit le seuil d’un problème de sécurité, mais aussi comment réduire les expositions par des améliorations de défense en profondeur. Réduire l’exposition des mots de passe en mémoire constitue une étape concrète. »
La correction fonctionne déjà dans le canal Edge Canary. Elle arrive avec la prochaine mise à jour pour toutes les versions Edge à partir de la build 148.
L’an dernier, Microsoft a ajouté une fonction sécurité dans Edge. Elle protège contre les extensions malveillantes installées à la main. L’entreprise a aussi limité l’accès au mode Internet Explorer après que des pirates ont exploité des failles zero-day dans le moteur JavaScript Chakra.