Un chercheur en sécurité norvégien a découvert que le gestionnaire de mots de passe de Microsoft Edge conserve l'ensemble des identifiants déchiffrés en mémoire vive dès le démarrage du navigateur, y compris pour les sites que vous ne visitez pas. Microsoft a confirmé en expliquant qu'il s'agit là d'un choix délibéré.
Tom Jøran Sønstebyseter Rønning, chercheur en sécurité basé en Norvège, s'est intéressé au fonctionnement du gestionnaire de mots de passe de Microsoft Edge. Il a découvert la manière dont le navigateur traite les identifiants des utilisateurs en mémoire.
Vos mots de passe en clair dans la RAM
Un gestionnaire de mots de passe classique ne déchiffre un identifiant qu'au moment précis où celui-ci est requis, c'est-à-dire lorsque le curseur de la souris est positionné sur un champ spécifique pour une URL connue. Mais le navigateur de Microsoft fonctionne autrement. Edge déchiffre la totalité des mots de passe sauvegardés dès l'ouverture du navigateur et les conserve en clair dans la mémoire vive (RAM) de l'ordinateur. Concrètement, un attaquant disposant d'un accès local à la machine peut lire l'ensemble de ces identifiants en consultant simplement le contenu de la mémoire, sans interagir avec le navigateur.
Edge affiche pourtant une demande d'authentification lorsque vous souhaitez consulter vos mots de passe depuis son interface. Mais cette protection n'est finalement qu'une façade. Puisque les identifiants sont déjà présents en clair dans la RAM, il suffit à un tiers malveillant de les lire directement, sans jamais passer par l'interface du navigateur. Rønning a d'ailleurs démontré via une vidéo qu'un attaquant ayant obtenu des droits d'administrateur sur un serveur de bureau à distance peut accéder aux mots de passe stockés par Edge de tous les utilisateurs connectés à cet instant - y compris ceux dont la session est simplement déconnectée, sans que le navigateur ait été fermé.
Rappelons au passage qu'un peu plus tôt cette année, Microsoft avait déjà supprimé l'option permettant de verrouiller l'accès au gestionnaire via un mot de passe principal. À partir du mois prochain, l’accès aux mots de passe reposera alors sur les méthodes de connexion de Windows, qu’il s’agisse d’un code PIN, du mot de passe du compte ou d’une identification biométrique via Windows Hello.
Le chercheur précise qu'Edge est le seul navigateur basé sur Chromium qu'il a testé avec ce comportement. De son côté, Chrome adopte une architecture différente. Le navigateur de Google ne déchiffre les mots de passe qu'au moment précis où ils sont nécessaires, via un mécanisme appelé App-Bound Encryption (ABE). Ce système lie le déchiffrement à un processus Chrome authentifié, afin d'empêcher d'autres programmes d'en réutiliser les clés. Les mots de passe n'apparaissent donc en clair que brièvement (lors du remplissage automatique ou de leur consultation).
Rønning a signalé ses conclusions à Microsoft avant de les rendre publiques. Selon le site norvégien ITavisen, qui relaie la réponse de l'éditeur, il s'agit d'un "choix de conception délibéré" et non d'un bug, sans pour autant donner davantage de précision. Le chercheur a par ailleurs annoncé la publication prochaine d'un outil sur GitHub permettant à quiconque de vérifier si ses mots de passe sont bien stockés en clair dans Edge.
