S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Oui, Edge stocke les mots de passe en clair dans la mémoire, c’est normal selon Microsoft

Toujours l’éternel combat : sécurité vs simplicité

Oui, Edge stocke les mots de passe en clair dans la mémoire, c’est normal selon Microsoft

Illustration : Flock

Un chercheur affirme, avec un prototype publié sur GitHub, que le navigateur Edge charge tous les mots de passe de son gestionnaire en clair dans la mémoire de l’ordinateur. N’importe qui peut donc y accéder ? Presque, il faut des droits administrateur tout de même. Microsoft confirme, ajoutant que c’est un comportement voulu.

Le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning explique sur les réseaux sociaux que le navigateur « Microsoft Edge charge tous vos mots de passe enregistrés en mémoire en clair – même lorsque vous ne les utilisez pas ».

Si vous êtes admin, vous pouvez voir les mots de passe en clair

Il propose un prototype sur GitHub permettant de vérifier ce qu’il en est sur sa machine. Un prérequis limite tout de même fortement la portée de ce que le chercheur présente comme une vulnérabilité : il faut des « droits d’administrateur (pour pouvoir lire la mémoire des processus Edge d’autres utilisateurs) ». Le chercheur confirme dans son fil de discussion sur X « ne pas avoir réussi à le faire fonctionner sans privilèges administrateur ».

Nous avons testé le programme EdgeSavedPasswordsDumper du chercheur, avec succès sous Windows 11 avec Edge 147 (les deux étaient à jour)… à condition de lancer un terminal avec des droits administrateur. Dans ce cas, le programme retourne bien, l’ensemble des identifiants et mots de passe enregistrés dans Edge dans le terminal. Sans les droits administateur, le même terminal répond « [x] Not running elevated ».

Ce sont ceux également visibles dans edge://settings/autofill/passwords, à la différence que pour voir les mots de passe enregistrés dans le navigateur, il faut entrer le mot de passe Windows « pour permettre cette opération », comme l’indique la fenêtre de validation qui s’est ouverte (voir les captures ci-dessous).

La technique utilisée par le chercheur permet de s’affranchir de cette étape à condition, pour rappel, d’avoir déjà des droits d’administrateur. Il est « amusant » de voir Edge demander une validation alors que c’est déjà accessible librement, comme le prouve le programme du chercheur.

« Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi »

Selon Tom Jøran Sønstebyseter Rønning, « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi. En revanche, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe sauvegardés simplement en lisant la mémoire des processus. Le navigateur ne déchiffre les identifiants que lorsque cela est nécessaire, au lieu de garder tous les mots de passe en mémoire en permanence ».

Chrome, toujours selon le chercheur, a d’autres protections, faisant que « les mots de passe en clair ne sont visibles que brièvement lors du remplissage automatique ou lorsque l’utilisateur les consulte, ce qui rend l’extraction massive de données en mémoire beaucoup moins efficace ».

Pour Tom Jøran Sønstebyseter Rønning, le risque est important dans des environnements partagés : « Si un attaquant obtient un accès administrateur sur un serveur, il peut accéder à la mémoire de tous les utilisateurs connectés (ou même les utilisateurs déconnectés) avec Edge en cours d’exécution ». On en revient toujours au même pré-requis important : être administrateur.

Microsoft confirme : c’est voulu et même « by design »

Le chercheur a contacté Microsoft, qui lui a répondu que c’est le comportement « by design » de son navigateur et qu’aucun correctif ne sera publié.

Un porte-parole confirme à Cybernews, en détaillant davantage son point de vue : « Les choix de conception dans ce domaine visent à trouver un équilibre entre performance, facilité d’utilisation et sécurité, et nous continuons de les évaluer face à l’évolution des menaces. Les navigateurs accèdent aux données de mots de passe en mémoire pour permettre aux utilisateurs de se connecter rapidement et en toute sécurité ; il s’agit d’une fonctionnalité normale de l’application ».

« L’accès aux données du navigateur, tel que décrit dans le scénario signalé, nécessiterait que l’appareil soit déjà compromis », ajoute Microsoft. En effet, il faut déjà être administrateur. Comme le montre Chrome avec une surface d’attaque plus limitée, il est tout de même possible de réduire les risques.

Comme le fait remarquer un internaute sur X, cette affaire n’est pas sans en rappeler une autre de 2022 sur Chromium (la base de Chrome, Edge et d’autres navigateurs). Il enregistrait en clair des mots de passe et d’autres informations dans la mémoire de l’ordinateur.

De manière générale, la communauté de la cybersécurité recommande davantage d’utiliser un gestionnaire de mot de passe dédié plutôt que ceux intégrés dans les navigateurs, notamment car la sécurité est leur première raison d’être. C’est également l’argument mis en avant par les gestionnaires de mots de passe qui prêchent évidemment pour leur paroisse.

Commentaires (32)

votre avatar
Le titre me fait penser au morceau "C'est normal" de Brigitte Fontaine et Areski Belkacem :mdr: youtube.com YouTube
votre avatar
je vais réagir grâce au sous-titre et au contenu de l'article, car ce n’est pas un problème de sécurité vs simplicité. Un système simple est souvent plus facile à sécuriser.

Le vrai sujet est plutôt un mauvais choix d’architecture, il est normal qu’un navigateur déchiffre temporairement un mot de passe lorsqu’il doit le saisir dans un formulaire, mais il n’est pas normal de conserver l’ensemble du coffre en mémoire ET en clair.

Le fait qu’il faille être administrateur limite la portée de l’attaque mais ne l’annule pas, dans un contexte d’incident, de serveur RDS, de poste partagé ou d’élévation de privilèges, bref peu importe, c’est précisément le genre de comportement qui aggrave fortement l’INpact.

Dans tout les cas, quelqu'un qui récupère un accès admin c'est fin du jeux.
votre avatar
Ce qui serait intéressant serait de vérifier si c'est commun à tous les navigateurs "chomium based" ou si seul Edge est touché ...
votre avatar
Dans l'article
Selon Tom Jøran Sønstebyseter Rønning, « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi. En revanche, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe sauvegardés simplement en lisant la mémoire des processus. Le navigateur ne déchiffre les identifiants que lorsque cela est nécessaire, au lieu de garder tous les mots de passe en mémoire en permanence ».
votre avatar
Autrement dit, Microsoft a fait une microsofterie pur jus ... Bande de c*ns 🤦‍♂️.
votre avatar
Il faut déjà être administrateur
C'est pas comme si les surfaces d'attaque (et le nombre de failles) augmentaient avec l'IA : tu cumules ça plus une autre faille permettant de passer admin depuis un compte non admin, et au final, tu peux facilement exfiltrer les mots de passe...
votre avatar
Ou simplement le fait que beaucoup de personnes sont admin de leur machine car c'est le seul compte créé à la mise en service, puisque la grande majorité des utilisateurs ne connaissent pas les bonnes pratiques et c'est déjà plié pour un attaquant.
votre avatar
Il y a quand-même le prompt de l'UAC qui s'affiche au moment où un programme veut utiliser les droits admins. Si un certain nombre de gens le valideront sans réfléchir, on ne peut pas pour autant dire que c'est discret.
votre avatar
D'après ce que j'ai compris, la méthode de récupération expliquée ici contourne l'UAC, ou en tout cas ne le déclenche pas.
votre avatar
Non, le programme lui-même ne demande pas les droits admin. C'est l'utilisateur qui choisit s'il l'exécute avec ou sans, sachant que si c'est sans, le programme n'a accès qu'à la mémoire du Edge exécuté par ce même utilisateur, alors qu'avec des droits admin, il a accès à tous les Edge qui s'exécutent sur la machine.

C'est bien le comportement décrit par Kookiz plus bas, auquel j'ai d'ailleurs répondu qu'il était déjà possible avant ce programme de récupérer les mots de passe de n'importe quel navigateur Chromium depuis le stockage dans les mêmes conditions, sans même qu'il ne soit lancé. Ce programme ne permet rien de plus que ce qui était déjà possible, mais apporte une autre manière de faire apparemment spécifique à Edge.

De toute façon, c'est impossible de sécuriser des données stockées qui ne demandent pas un facteur externe (mot de passe, biométrie) au moment de les déchiffrer. Il sera toujours possible pour l'utilisateur, encore plus s'il a les droits admin, de les extraire depuis le stockage. Ca peut juste être rendu plus compliqué mais pas être empêché.
votre avatar
"It's not a bug, it's a feature!" :8
votre avatar
Feature sponsored by NSA
votre avatar
Encore une bonne raison de ne pas utiliser edge
votre avatar
la question, c'est surtout est-ce qu'il y a une seule raison de l'utiliser ?
votre avatar
Oui, télécharger firefox
votre avatar
Firefox était installé de base sur mon système d'exploitation. :langue:

Et moi qui pensais que le Ballot screen existait toujours sur Windows !:D
votre avatar
Le ballot screen c'est à l'installation. Or
Ordi perso ⇒ Linux et Windows ⇒ Ordi du travail, ce n'est pas moi qui installe

(mais en fait, ma remarque voulait seulement faire un peu sourire)
votre avatar
(mais en fait, ma remarque voulait seulement faire un peu sourire)
J'avais compris.
votre avatar
Encore que maintenant avec winget... 😏
votre avatar
Firefox ever. 😁
votre avatar
A noter qu'il faut les droits admin pour dumper la mémoire d'un process qui tourne sur une autre session, mais pas besoin pour un process qui tourne sur la session courante. Donc les droits admin c'est uniquement pour chopper les mots de passe d'autres utilisateurs.

Dans l'ensemble, j'ai l'impression que ce truc fait beaucoup plus de bruit qu'il ne le mérite. Est-ce qu'il simplifie la vie d'un attaquant ? Probablement. Est-ce qu'il lui donne accès à quelque chose qu'il n'aurait pas pu obtenir par d'autres moyens ? Absolument pas.
votre avatar
Non en effet car on peut déjà récupérer sans droits admin les mots de passe de l'utilisateur courant en les demandant simplement au service de déchiffrement de Edge en se faisant passer pour Edge.

Et si on est admin on peut exécuter du code en tant que System et en tant que n'importe quel utilisateur, et déchiffrer soi-même le fichier de mots de passe de n'importe quel utilisateur de la machine en utilisant l'API Windows dédiée. Et tout ça sans Edge lancé ni même les utilisateurs connectés.

Donc oui, rien de nouveau, mais c'est toujours une faille de plus et bien plus discutable que celle que je viens de citer.
votre avatar
« L’accès aux données du navigateur, tel que décrit dans le scénario signalé, nécessiterait que l’appareil soit déjà compromis », ajoute Microsoft. En effet, il faut déjà être administrateur. Comme le montre Chrome avec une surface d’attaque plus limitée, il est tout de même possible de réduire les risques.
Ben non. En entreprise notamment, un simple utilisateur peur donc voir ses mots de passe enregistrés récupérable par n'importe quel administrateur. C'est pas une compromission, et c'est hyper dangereux by design.

Je ne comprends pas la position de Microsoft sur le sujet...
votre avatar
L'administrateur peut déjà aller chercher tes mots de passe dans les fichiers, installer un keylogger, remplacer ta version de Edge par une version custom... la liste est infinie. Il est complétement illusoire de croire que tu peux empêcher un administrateur trop curieux de fouiner dans tes données.
votre avatar
Il y a des choses qui laissent des traces (comme un keylogger), d'autre non (comme aller scruter la mémoire). Oui, c'est illusoire de vouloir protéger de tout. Ce n'est pas une raison pour laisser des failles exploitables.
votre avatar
Et l'administrateur te dira que de toute façon t'es pas censé utiliser la connexion de l'entreprise pour tes besoins personnelles donc t'es mot de passe perso ne sont pas censé être là. D'autant plus qu'il te rappelera aussi de ne jamais accepter la mémorisation des mots de passe avant de te frapper à coup de chartes informatiques. :windu:
votre avatar
L'administrateur te dira que tu dois utiliser un gestionnaire de MDP approuvé, donc pas edge.
votre avatar
Ah dans ma société c'est le Gestionnaire de mot de passe de Edge qui est approuvé :D

Je m'en vais de ce pas leur signaler le comportement voulu par MS ^^
votre avatar
Il me semble que le droit concède au salarié une utilisation personnelle du matériel professionnel si celle ci est limitée, en temps notamment et sans bien sûr enfreindre la charte informatique (ne pas installer de logiciels non validés entre autres).
votre avatar
Parfois l'admin a supprimé la possibilité d'enregistrer les mots de passe.
votre avatar
C'est pas « secure by design » tout ça. J'attends de voir comment ils vont faire pour le marquage CE.
votre avatar
C'est qui est dommage c'est que cette gestion par Microsoft des mots de passe, rend la synchronisation avec Chrome impossible. Beaucoup utilisent Edge sur Windows et Chrome sous Android donc c'est un gros problème.