Si vous enregistrez vos mots de passe dans Microsoft Edgevoici quelque chose que vous devriez savoir. Chaque fois que vous ouvrez le navigateur, il décrypte tous vos mots de passe enregistrés et les charge en mémoire en texte clair, où ils restent pendant toute votre session. Cela signifie que vos mots de passe ne sont pas protégés dans la mémoire de votre appareil, même si vous ne visitez aucun des sites auxquels ils appartiennent.
Le chercheur en sécurité Tom Rønning a découvert ce comportement et l'a signalé à Microsoft. Cependant, l’entreprise a répondu en affirmant que ce comportement était intentionnel.
Edge est le seul navigateur Chromium qui enregistre votre mot de passe de cette manière
Microsoft Edge est construit sur Chromiumla même base open source qui alimente Google Chrome. Mais Chrome gère les mots de passe de manière très différente. Il ne déchiffre un mot de passe qu’au moment où il est réellement nécessaire, par exemple lors de la saisie automatique.
Chrome utilise également une fonctionnalité appelée Application-Bound Encryption, qui lie les clés de déchiffrement à un processus Chrome authentifié, ce qui rend beaucoup plus difficile pour les attaquants d'extraire les mots de passe de la mémoire. Mais Microsoft Edge ne fait ni l’un ni l’autre.
Rønning a testé plusieurs navigateurs basés sur Chromium et a constaté qu'Edge était le seul à charger tous les mots de passe enregistrés en mémoire au démarrage et à les laisser en texte clair.
Que dit Microsoft et devriez-vous vous inquiéter ?
Dans une déclaration à CyberNewsMicrosoft a déclaré que ce comportement existe pour aider les utilisateurs à se connecter rapidement et que pour l'exploiter, il faudrait qu'un attaquant dispose déjà d'un accès administratif à l'appareil.
Les experts en sécurité s’accordent largement sur le fait que l’accès au niveau administrateur constitue en réalité une compromission complète du système, quel que soit le navigateur que vous utilisez. Malgré cela, les professionnels de la cybersécurité préviennent que les logiciels malveillants infostealer modernes ciblent spécifiquement la fenêtre entre le stockage crypté et l’exposition à l’exécution, ce qui fait des mots de passe en clair en mémoire un risque réel.
Les conseils pratiques des experts en sécurité sont cohérents quel que soit le navigateur que vous utilisez. Arrêtez complètement de stocker les mots de passe dans votre navigateur et passez à un gestionnaire de mots de passe dédié plutôt.
