Il y a quelque temps, nous avons abordé la question de savoir s'il fallait laisser son navigateur enregistrer ses mots de passe.
Dans cet article, nous avons évoqué l'importance du chiffrement.
« Avecun gestionnaire de mots de passe intégré au navigateur, toute personne ayant accès à votre navigateur pourrait voir vos mots de passe en clair, même si Windows être configuré pour demanderune authentification(la même que celle que vous utilisez au démarrage de votre appareil). »
En général, les gestionnaires de mots de passe des navigateurs stockent les mots de passe sous forme cryptée sur le disque dur, en les associant à votre compte utilisateur et en les protégeant via le système d'exploitation.
Récemment, un chercheur en sécurité a testé de manière systématique tous les principaux navigateurs basés sur Chromium afin d'évaluer la manière dont ils gèrent les identifiants en mémoire. Il a constaté Edge le seul à charger l'intégralité du coffre-fort de mots de passe en texte clair dans la mémoire du processus au démarrage, où il reste pendant toute la durée de la session.
On a constaté que Chrome les autres navigateurs basés sur Chromium ne déchiffraient un mot de passe qu'en cas de besoin (remplissage automatique ou « afficher le mot de passe »), et non l'ensemble du coffre-fort, et qu'ils utilisaient des mécanismes tels que chiffrement lié à l'application chiffrement les clés. Edge pas ces mesures de protection dans ce contexte.
Le chercheur a donc décidé de rédiger une démonstration de faisabilité (PoC) visant à montrer que l'accès à ce coffre-fort ne repose ni sur des vulnérabilités « zero-day » ni sur des techniques d'exploitation complexes. Il repose sur la capacité relativement simple de lire la mémoire d'un processus, ce qui nécessite toutefois des privilèges élevés.
Mais lorsque le chercheur a signalé le problème à Microsoft, la réponse s'est avérée décevante. La société a officiellement répondu que ce comportement était « prévu ». L'argument avancé est sans doute que ce comportement accélère la connexion et le remplissage automatique des champs, et que les pirates auraient de toute façon besoin d'une machine compromise ou d'un accès privilégié pour lire la mémoire vive (RAM), ce que Microsoft considère comme hors du champ d'application de cette décision de conception.
Ce qui est globalement vrai. Un pirate doit déjà disposer d’un point d’ancrage solide : par exemple, la possibilité d’exécuter du code sur la machine et de lire la mémoire Edgeprocessus Edge, ce qui nécessite souvent des privilèges élevés. Il ne s’agit pas d’une faille à distance et sans authentification dans le navigateur, mais la conception du système facilite la collecte d’identifiants une fois le système compromis. Et c’est une capacité dont disposent déjà de nombreux logiciels de vol d’informations.
C'est simplement une autre chose qu'un pirate peut faire une fois qu'il a pris le contrôle de votre ordinateur. Si l'on ajoute à cela cette étude universitaire de 2024, qui a révélé que de nombreux gestionnaires de mots de passe laissaient apparaître des mots de passe en clair dans la mémoire dans certaines conditions, cela nous amène à réitérer notre conseil.
Devriez-vous autoriser votre navigateur à mémoriser vos mots de passe ?
Le gestionnaire de mots de passe de votre navigateur vous offre une grande facilité d'utilisation, mais cela se fait au détriment de la sécurité. Bien sûr, les gestionnaires de mots de passe ne sont pas infaillibles non plus ; il est donc important que vous décidiez vous-même où vous souhaitez stocker vos mots de passe.
Si vous êtes certain que le site web est sûr et que toute personne pouvant y accéder via votre compte n'apprendra rien de nouveau, n'hésitez pas à enregistrer le mot de passe dans votre navigateur, mais désactivez la fonction de remplissage automatique afin de garder le contrôle.
Utilisezl'authentification multifactorielle (MFA) dès que possible. Cela réduit considérablement le risque si quelqu'un venait à s'emparer de votre mot de passe. Évitez également d'utiliser le gestionnaire de mots de passe de votre navigateur pour enregistrer vos coordonnées bancaires ou d'autres informations personnelles sensibles, telles que des données médicales.
Nous ajouterions toutefois que, parmi les principaux navigateurs, Edge être le moins performant si vous décidez tout de même d'utiliser un gestionnaire de mots de passe intégré.
Mettez fin aux menaces avant qu'elles ne causent du tort.
Malwarebytes Browser Guard automatiquement les pages de hameçonnage et les sites malveillants. Gratuit, s'installe en un clic. Ajoutez-le à votre navigateur →
