Microsoft a annoncé qu'il allait modifier la gestion des mots de passe Edgedans le cadre d'une stratégie de « défense en profondeur ».
À l'origine, Edge l'intégralité du fichier de mots de passe enregistrés au démarrage et conservait toutes les informations d'identification en clair dans la mémoire du processus pendant toute la durée de la session de navigation, que ces informations aient été utilisées ou non.
Il y a peu, Microsoft avait déclaré que ce comportement concernant les mots de passe en clair était voulu. Aujourd'hui, Microsoft a changé d'avis, et le nouveau mode de gestion des mots de passe est déjà disponible dans Canary (la version préliminaire expérimentale de Microsoft Edge), son déploiement étant prioritaire sur tous les canaux.
Le chercheur qui a initialement signalé le problème a déclaré :
«Edge le seul navigateur basé sur Chromium que j'ai testé qui se comporte ainsi. À l'inverse, Chrome une architecture qui rend beaucoup plus difficile pour les pirates d'extraire les mots de passe enregistrés en se contentant de lire la mémoire du processus. »
Gareth Evans, responsable Edge chez Microsoft Edge , a déclaré que Microsoft adoptait désormais une approche plus globale et s'était engagé à modifier Edge que les mots de passe enregistrés ne soient plus chargés en mémoire sous forme de texte en clair au démarrage. Cela permettra de réduire les risques d'exposition et de renforcer la sécurité en profondeur. Ainsi, même si un pirate informatique parvient à prendre le contrôle administratif d'un appareil, il lui sera plus difficile de récupérer l'ensemble des mots de passe.
Selon Microsoft :
« À l'avenir, Microsoft Edge ne Edge plus tous les mots de passe enregistrés en mémoire au démarrage du navigateur. À la place, les mots de passe ne seront déchiffrés que lorsque cela sera nécessaire pour les opérations de remplissage automatique ou de gestion des mots de passe. »
Cette modification est déjà disponible dans le canal Edge et sera intégrée à la prochaine mise à jour pour toutes Edge prises en charge Edge (build 148 et versions ultérieures dans les canaux Stable, Beta, Dev, Canary et Extended Stable).
Cette modification s'explique sans doute davantage par des considérations de réputation et de stratégie que par la reconnaissance d'une vulnérabilité exploitable. Microsoft semble vouloir mettre ses actes en conformité avec son message « sécurisé dès la conception » et remédier à une faille très visible et facile à démontrer, même si l'entreprise ne la considère toujours pas comme un bug classique de divulgation de mémoire.
Mots de passe dans votre navigateur
Veuillez noter que ce changement signifie simplement Edge un niveau de sécurité à peu près équivalent à celui des autres navigateurs basés sur Chromium pour la gestion des mots de passe.
Le gestionnaire de mots de passe de votre navigateur vous offre une grande facilité d'utilisation, mais cela s'accompagne de certains compromis en matière de sécurité. Bien sûr, les gestionnaires de mots de passe ne sont pas non plus infaillibles ; il est donc important que vous décidiez vous-même où vous souhaitez stocker vos mots de passe.
Si vous êtes certain qu'un site web est sûr et que personne ayant accès à votre compte ne pourra y découvrir d'informations sensibles, n'hésitez pas à enregistrer le mot de passe dans votre navigateur, mais désactivez la fonction de remplissage automatique afin de garder le contrôle.
Utilisezl'authentification multifactorielle (MFA) dès que possible. Cela réduit considérablement le risque si quelqu'un venait à mettre la main sur votre mot de passe. Évitez également d'utiliser le gestionnaire de mots de passe de votre navigateur pour enregistrer vos coordonnées bancaires ou d'autres informations personnelles sensibles, telles que des données médicales.
Soyons réalistes, une fenêtre de navigation privée a ses limites.
Fuites de données, commerce sur le dark web, fraude à la carte de crédit. Malwarebytes Identity Theft surveille tous ces risques, vous alerte rapidement et inclut une assurance contre l'usurpation d'identité.
