Une récente découverte en cybersécurité a mis en évidence un comportement préoccupant dans Microsoft Edge ( Oups ….)
Le navigateur chargeait tous les mots de passe enregistrés en mémoire (RAM) en clair dès son démarrage. Ces mots de passe restaient accessibles en mémoire, même sans utilisation active.
Ce fonctionnement a été identifié par un chercheur en sécurité et a suscité des inquiétudes importantes, carlLes données sensibles (identifiants, mots de passe) deviennent potentiellement récupérables et cela facilite les attaques en cas de compromission du poste
La position initiale de Microsoft
Dans un premier temps, Microsoft a indiqué que ce comportement etait intentionnel (“by design”) et restait conforme au modèle de menace habituel. De plus il ne posait problème que dans un scénario où l’attaquant dispose déjà d’un accès administrateur à la machine.
Autrement dit : si le poste est compromis, le problème va au-delà du navigateur.
Revirement et correction annoncée
Suite aux retours de la communauté et des experts en sécurité, Microsoft a décidé de faire évoluer son approche.
Edge ne chargera plus les mots de passe en mémoire sous forme de texte clair (Une mise à jour prioritaire est en cours de déploiement)
l’objectif est bien de réduire la surface d’exposition des données sensibles, même dans des scénarios de compromission partielle.
Approche sécurité : passage à une logique “defense-in-depth”
Microsoft justifie cette évolution par une vision plus large de la sécurité. Cette situation n’est pas forcément une faille critique au sens strict, mais cela représente un risque d’exposition évitable.
L’objectif est donc de réduire tous les points faibles même secondaires ( Defense-in-depth (défense en profondeur)
La correction sera incluse dans les versions récentes d’Edge (à partir de la version 148) et le déploiement se fera sur l’ensemble des canaux (Stable, Beta, Dev, Canary)
Travailler ensemble 