Un chercheur norvégien affirme que les identifiants stockés dans le navigateur Edge (basé sur Chromium) de Microsoft seraient conservés en mémoire en clair. L’éditeur évoque un comportement intentionnel et s’attire les foudres des experts en cybersécurité.
Problème de configuration ou faille réelle ? La question se pose après la découverte par un chercheur norvégien Tom Jøran Sønstebyseter Rønning d’un problème dans la gestion de mots de passe du navigateur Edge de Microsoft. Ce dernier basé sur Chromium conserverait les identifiants en clair les exposants ainsi à de possibles fuites de données au sein des entreprises. Selon ses observations publiées sur X, quand les utilisateurs enregistrent des mots de passe dans Edge, le navigateur déchiffre chaque identifiant au démarrage et le conserve en mémoire, que l’utilisateur visite ou non le site. La découverte a été confirmée par le site allemand Heise.de, qui a créé et enregistré un mot de passe et constaté que, même après la fermeture et la réouverture du navigateur, le mot de passe était toujours accessible en texte clair.
Microsoft s’est montré peu préoccupé par cette découverte. Le site norvégien Itavisen.no indique que « le chercheur a signalé cette découverte à Microsoft, et selon l’entreprise, ce comportement est “intentionnel” ». Le média a ajouté que Tom Jøran Sønstebyseter Rønning prévoit de publier un outil simple sur GitHub donnant aux utilisateurs la possibilité de constater par eux-mêmes que les identifiants sont stockés en clair dans la mémoire.
La réponse de Microsoft critiquée
La position de Microsoft ne convainc pas les spécialistes de la cybersécurité. David Shipley, DG de Beauceron Security, critique vivement la réponse de l’éditeur, qu’il considère comme une manière d’éluder ses responsabilités : « Non, ce n’est pas une fonctionnalité. C’est une façon facile de se défausser de ses responsabilités. C’est presque aussi grave que lorsque des entreprises disent “cela fonctionne comme prévu”. » Il estime que « le problème ici, comme pour d’autres lacunes similaires, c’est la commodité, la rapidité au détriment des efforts pour atténuer ou corriger le problème ». Selon le dirigeant, cette faille constitue une véritable porte ouverte aux cybercriminels et que l’attitude de Microsoft « est une manière de baisser les bras ».
Prendre exemple sur Chrome
À l’inverse d’autres navigateurs basé sur Chromium ne sont pas concernés par ce problème. Par exemple, Chrome, conformément aux recommandations des experts en sécurité, propose un système appelé « App Bound Encryption » qui chiffre les données du navigateur et garantit qu’elles ne sont pas stockées en texte brut dans la mémoire. Ce n’est pas un système infaillible ; il a déjà été contourné par le passé, mais par des pirates déterminés.
Le bug de Microsoft, en revanche, ne nécessite que peu de compétences pour être exploité. David Shipley a déclaré que si Google est capable de mieux sécuriser son navigateur, il n’y a aucune raison pour que Microsoft ne puisse pas en faire autant avec Edge. « Ce n’est clairement pas un obstacle technique. C’est une question de motivation, ce qui ne devrait surprendre personne, car la firme de Redmond distribue ce navigateur gratuitement. On ne paie pas pour l’utiliser, alors pourquoi se donnerait-on la peine de le sécuriser au-delà du strict minimum ? » conclut le dirigeant.