Si vous enregistrez des mots de passe dans Microsoft Edge, il existe un risque de sécurité que vous devriez connaître. Selon une nouvelle révélation, chaque fois que vous ouvrez Edge, le navigateur charge immédiatement en mémoire tous les mots de passe enregistrés sous une forme lisible — et pas seulement le mot de passe du site internet sur lequel vous vous connectez. Cela signifie que les identifiants de chaque compte enregistré dans Edge pourraient être exposés si un logiciel malveillant, un compte admin compromis ou un autre attaquant accède à votre appareil ou à votre session utilisateur.

Cette découverte a été divulguée par le chercheur en sécurité Tom Jøran Sønstebyseter Rønning(nouvelle fenêtre), qui affirme que la réponse de Microsoft a été que ce comportement est « intentionnel ».

La propre documentation de Microsoft indique qu’Edge chiffre les mots de passe enregistrés sur le disque à l’aide de l’AES (Advanced Encryption Standard) et reconnaît que les mots de passe peuvent être exposés si la session utilisateur ou l’appareil est compromis. La nouvelle révélation ne conteste pas cela, mais soulève une préoccupation différente : Edge charge tous les mots de passe enregistrés dans la mémoire lisible dès le lancement du navigateur, ce qui rend le piratage de la mémoire bien plus fructueux si un attaquant obtient un accès suffisant.

Cela survient un an après que Microsoft a restreint la gestion des mots de passe autour d’Edge en supprimant progressivement le stockage des mots de passe et le remplissage automatique dans Microsoft Authenticator, poussant les utilisateurs souhaitant continuer à utiliser les fonctionnalités de mot de passe de Microsoft vers son propre navigateur.

Comment Microsoft Edge gère les mots de passe enregistrés

Les mots de passe sont censés être protégés par le chiffrement lorsqu’ils sont stockés : le chiffrement transforme un mot de passe lisible (texte brut) en données illisibles (texte chiffré). Pour utiliser ce mot de passe pour le remplissage automatique, un navigateur doit finit par le déchiffrer pour le remettre sous une forme lisible. La question importante est la suivante : quelle quantité de données de mots de passe devient lisible en même temps ?

Le chercheur en sécurité Tom Jøran Sønstebyseter Rønning affirme que Microsoft Edge charge tous les mots de passe enregistrés dans la mémoire du navigateur en texte brut dès son lancement, au lieu de ne déchiffrer un mot de passe spécifique que lorsqu’il est nécessaire. Cela inclut tous les mots de passe enregistrés dans le gestionnaire de mots de passe d’Edge, même ceux des sites internet que vous ne visitez pas ou pour lesquels vous n’utilisez pas le remplissage automatique au cours de la session de navigation actuelle.

Un terminal montrant comment Microsoft Edge expose les mots de passe enregistrés en texte brut
Source : @L1v1ng0ffTh3L4N sur X

Cela rend l’invite de réauthentification d’Edge trompeuse : l’interface vous demande de prouver votre identité avant de révéler un mot de passe, bien que le processus du navigateur dispose déjà de chaque mot de passe enregistré sous une forme lisible.

Le chercheur a testé ce comportement sur plusieurs navigateurs basés sur Chromium, notamment Google Chrome, Brave, Vivaldi, Opera et Microsoft Edge. Seul Edge a présenté ce comportement.

Il suffit de laisser Microsoft Edge ouvert

Le chercheur en sécurité Rob VandenBrink, écrivant pour le SANS Internet Storm Center(nouvelle fenêtre), a reproduit le problème en laissant Microsoft Edge ouvert et en analysant un cliché de mémoire de la session du navigateur en cours d’exécution. Il a démontré comment un utilisateur Windows connecté peut extraire ses identifiants Edge stockés sans droits supplémentaires, ce qui signifie également qu’un logiciel malveillant s’exécutant sous l’identité de cet utilisateur pourrait potentiellement accéder aussi à ces identifiants.

Deux panneaux côte à côte montrant comment créer facilement un fichier de cliché de mémoire pour Microsoft Edge à l'aide du Gestionnaire des tâches de Windows et comment visualiser facilement tous les mots de passe enregistrés dans le fichier DMP capturé
Source : Rob VandenBrink sur le SANS Internet Storm Center

Une seule session compromise peut exposer tous vos mots de passe

Si un attaquant obtient un accès suffisant à l’appareil ou à la session utilisateur, il peut être en mesure d’inspecter la mémoire du navigateur. Si un seul mot de passe est déchiffré au moment voulu, l’attaquant dispose d’une fenêtre plus restreinte et de moins de données à capturer. Mais si chaque mot de passe enregistré se trouve déjà en mémoire sans protection par chiffrement, le piratage de la mémoire devient beaucoup plus précieux.

Le risque est particulièrement sérieux dans les environnements partagés, tels que les serveurs de terminaux, les bureaux à distance, les infrastructures de bureaux virtuels ou les systèmes où plusieurs utilisateurs sont connectés en même temps. Un compte admin compromis pourrait extraire les identifiants enregistrés d’autres utilisateurs connectés, y compris des sessions déconnectées où Edge était toujours en cours d’exécution.

Que faire si vous avez enregistré des mots de passe dans Microsoft Edge

Cela ne signifie pas que chaque utilisateur de Microsoft Edge a été piraté, mais les particuliers et les organisations devraient se demander si Edge est l’endroit approprié pour stocker des identifiants. Voici ce que vous pouvez faire pour rester en sécurité :

  • Arrêtez d’enregistrer de nouveaux mots de passe dans le navigateur de Microsoft et désactivez le gestionnaire de mots de passe d’Edge.
  • Déplacez vos identifiants enregistrés vers un gestionnaire de mots de passe sécurisé. Vous pouvez facilement importer les mots de passe d’Edge dans Proton Pass.
  • Supprimez les mots de passe enregistrés dans Edge après la migration.
  • Changez les mots de passe à haut risque et rendez-les uniques, en commençant par les messages, les comptes financiers, les outils d’admin, les boîtes de réception de réinitialisation de mot de passe et les comptes professionnels. Notre gestionnaire de mots de passe dispose d’un outil intégré à cet effet, mais vous pouvez également utiliser notre générateur de mots de passe.
  • Activez l’authentification à deux facteurs (A2F) ou les clés d’accès lorsque cela est possible, ce qui aide à réduire les dommages en cas d’exposition d’un mot de passe. Proton Pass supporte les clés d’accès et l’A2F pour tous vos comptes enregistrés. Vous pouvez également utiliser notre application d’authentification pour gérer en toute sécurité l’accès à votre compte Proton.
  • Pour les équipes IT : examinez les politiques de mots de passe d’Edge et désactivez l’espace de stockage des mots de passe du navigateur pour réduire les risques organisationnels. Un gestionnaire de mots de passe professionnel contrôlé de manière centralisée est préférable au stockage des mots de passe par les employés sur des navigateurs individuls.

Vos mots de passe méritent mieux que Microsoft Edge

La divulgation de Microsoft Edge rappelle que vos identifiants les plus sensibles ne devraient pas être stockés dans un gestionnaire de mots de passe appartenant à une entreprise qui traite ce type d’exposition comme un comportement attendu, même si cela soulève des problèmes de sécurité évidents pour les individus et les organisations.

Avec Proton Pass, vos mots de passe, alias, clés d’accès et codes A2F sont protégés par un chiffrement de bout en bout, et vous gardez le contrôle sur l’endroit et la manière dont vous les utilisez.

Créer un compte Proton Pass gratuit