Un chercheur en cybersécurité a publié un outil de validation de principe qui démontre les risques de sécurité dans la gestion des mots de passe enregistrés par Microsoft Edge. Le chercheur, qui s'appelle Tom Jøran Sønstebyseter Rønning sur Internet, a partagé ses découvertes sur les plateformes sociales, notamment X, et a fait une démonstration complète.

Selon lui, Microsoft Edge chargera les mots de passe du compte enregistré de l'utilisateur en texte clair dans la mémoire système au démarrage du navigateur, même si ces informations d'identification ne sont pas actuellement utilisées. Plus intrigant encore, le navigateur continue de demander à l'utilisateur de se reconnecter même lorsque tous les mots de passe résident en mémoire sous une forme non protégée.

Pour illustrer ce comportement de manière plus intuitive, les chercheurs ont publié un outil appelé « EdgeSavedPasswordsDumper » sur GitHub. Le projet se positionne comme un utilitaire éducatif conçu pour aider les professionnels de la sécurité et les utilisateurs ordinaires à vérifier comment les informations d'identification enregistrées sont gérées dans les environnements de navigateur. L'outil accède à la mémoire de processus du navigateur pour extraire les noms d'utilisateur et les mots de passe qui peuvent se présenter sous une forme lisible par l'homme.

La recherche montre que le processus parent de Microsoft Edge continue de détenir ces informations d'identification déchiffrées, et une fois qu'un attaquant obtient des privilèges système suffisants, ce processus peut devenir une cible pour l'extraction de mot de passe. Ce risque est particulièrement aigu pour les organisations exécutant des comptes partagés ou des environnements multi-utilisateurs, car la compromission d'un compte doté de privilèges d'administrateur permettrait à un attaquant d'accéder aux données sur plusieurs sessions actives.

Il convient de souligner que cette technologie en elle-même ne constitue pas une méthode d'attaque à distance, mais dans le scénario où l'attaquant a obtenu un accès à privilèges élevés, elle devient une arme pour un mouvement latéral ultérieur ou pour voler des informations sensibles. Dans ce cas, des opérations telles que des vidages de mémoire via des outils de gestion courants peuvent divulguer les informations de connexion qui y sont stockées.

Les tests des chercheurs ont également révélé que ce problème semble être un comportement spécifique à Edge, et le même schéma n'est pas observé dans d'autres navigateurs basés sur Chromium tels que Google Chrome et Brave. Ce dernier ne décrypte généralement les informations d’identification qu’en cas de besoin, sans les conserver en texte clair en mémoire pendant une période prolongée. Cependant, cela ne signifie pas que Chrome est totalement exempt de dangers cachés. Par exemple, des rapports précédents soulignaient que Chrome était à la traîne par rapport à des produits tels que Edge, Firefox et Brave en ce qui concerne l'importante fonctionnalité de confidentialité de la protection des empreintes digitales du navigateur.

Ce qui est encore plus déroutant, c'est que lorsque les chercheurs ont tenté d'informer Microsoft du problème, Microsoft a apparemment classé le comportement comme "fonctionnant dès la conception". Au-delà de cette déclaration, Microsoft n’a semblé fournir aucune autre réponse ou explication.