Un chercheur norvégien a découvert que le navigateur Edge déchiffre la totalité des mots de passe enregistrés dès son ouverture et les laisse en clair dans la mémoire vive.
Vous ouvrez Edge le matin. Puis, vous consultez votre messagerie, peut-être un ou deux sites. Pendant ce temps, tous vos identifiants enregistrés dans le navigateur sont déchiffrés, lisibles, posés dans la RAM de votre machine comme un Post-it sur un bureau ouvert. Même ceux des sites que vous n’avez pas visités, voire même ceux que vous aviez oubliés.
Un fonctionnement que personne n’avait remarqué
Tom Jøran Sønstebyseter Rønning, chercheur en sécurité basé en Norvège, a mis le doigt sur un mécanisme qui existe probablement depuis longtemps. Quand Edge démarre, il déverrouille en bloc tous les mots de passe stockés sur le disque dur et il les charge en texte brut dans la mémoire du processus. Ils restent tant que le navigateur tourne.
Le site allemand Heise.de a reproduit le problème sans difficulté. Le chercheur prévoit de publier un outil sur GitHub pour que chacun puisse vérifier par soi-même.
Un malware suffirait à tout récupérer
Le danger saute aux yeux pour quiconque travaille dans la sécurité informatique. Si un logiciel malveillant tourne sur votre poste, il n’a qu’à lire la mémoire vive pour récupérer l’intégralité de vos identifiants. Vous n’avez pas besoin de casser un chiffrement ou de chercher une clé. Le butin est déjà servi !
Pour les entreprises qui déploient Edge sur des centaines de postes, le risque prend une dimension collective. Un seul ordinateur infecté, puis un attaquant aspire tous les accès du salarié.
Microsoft hausse les épaules ?
La réponse officielle de Microsoft a fait bondir la communauté de la cybersécurité. Le comportement serait by design, c’est-à-dire voulu et assumé. L’éditeur explique que le remplissage automatique a besoin d’accéder aux mots de passe déchiffrés pour fonctionner une fois l’utilisateur authentifié sur Windows. De ce fait, si la machine est compromise, de toute façon, plus aucune protection logicielle ne tient.
David Shipley, patron de Beauceron Security, estime que cela revient à baisser les bras. Il rappelle que Chrome, bâti sur la même base Chromium, utilise un système appelé App Bound Encryption qui empêche exactement ce scénario. Le chiffrement protège les données en mémoire.
La sécurité en couches existe précisément pour ralentir un attaquant, même quand une première barrière a sauté. Le fait de laisser tous les mots de passe en clair dans la RAM revient à supprimer l’une de ces couches volontairement.
