Un chercheur en sécurité a découvert que tous les mots de passe sont stockés en texte brut dans la mémoire d’Edge.
Microsoft Edge charge tous les mots de passe enregistrés en mémoire en texte clair lors du démarrage, même s’ils ne sont pas utilisés. C’est ce qu’a découvert le chercheur en sécurité Tom Jøran Sønstebyseter Rønning, qui souligne sur son compte X un risque dans les environnements partagés. Cette méthode diffère de celle de Google Chrome, qui ne décode les mots de passe qu’en cas de besoin. Edge demande certes une réauthentification avant d’afficher les mots de passe dans le gestionnaire de mots de passe, mais les processus en mémoire les contiennent déjà sous forme lisible.
Risques dans les environnements partagés
Dans des environnements tels que les serveurs de terminaux, un attaquant disposant de privilèges d’administrateur peut accéder à la mémoire de tous les utilisateurs connectés. Rønning a démontré qu’un compte compromis avec des droits d’administrateur pouvait consulter les identifiants enregistrés d’autres utilisateurs connectés, même sans connexion internet active.
Chrome utilise une conception qui rend plus difficile pour les attaquants l’obtention des mots de passe enregistrés par simple lecture de la mémoire du processus. L’App-Bound Encryption y ajoute une couche supplémentaire en liant le décodage à un processus Chrome authentifié.
Réaction de Microsoft
Microsoft a réagi au rapport de Rønning en indiquant que ce comportement est prévu pour améliorer l’expérience utilisateur. Le chercheur a partagé ses conclusions sous forme de divulgation responsable, afin que les utilisateurs et les organisations puissent prendre des décisions éclairées sur la gestion de leurs identifiants.