Edge : mots de passe en clair dans la mémoire malgré le stockage chiffré Edge chiffre le stockage des mots de passe, mais leur présence en clair dans la mémoire demeure une source d'inquiétude.
Edge, les mots de passe stockés en clair dans la mémoire, posent un paradoxe: le navigateur propose un gestionnaire de mots de passe dont le stockage local est chiffré et sécurisé par Windows Hello, mais des informations peuvent se retrouver en clair dans la mémoire lors de l'utilisation.
Comprendre le mécanisme de Edge pour les mots de passe
Le gestionnaire intégré d'Edge stocke les identifiants localement dans un magasin protégé par le système d'exploitation. Le chiffrement est appliqué au repos et l'accès est conditionné à une authentification, notamment via Windows Hello, afin de déverrouiller le coffre des identifiants.
Lorsqu'un mot de passe est nécessaire pour une connexion, Edge lit le coffre et assigne temporairement les identifiants en mémoire afin de les remplir automatiquement. C'est à ce moment-là que les limites de sécurité deviennent pertinentes: la mémoire vive peut être sondée par des logiciels malveillants si d'autres mesures ne bloquent pas l'accès.
« Le gestionnaire paraît sécurisé grâce à un stockage chiffré et à la protection Windows Hello, mais des observations indiquent que des mots de passe peuvent être stockés en clair dans la mémoire » Source.
Ce que cela change pour les utilisateurs et les bonnes pratiques
Ce type de risque n'implique pas que tout est compromis. L'exposition est conditionnée à l'appel des mots de passe en mémoire lors de l'autofill, et peut être atténuée par des protections du système d'exploitation et du navigateur.
- Exposition en mémoire : lorsqu'un mot de passe est copié en mémoire pour un remplissage automatique, il peut être chargé dans des buffers temporaires accessibles à des outils malveillants.
- Protection côté disque : le coffre est chiffré et verrouillé par Windows Hello ou d'autres mécanismes d'authentification, limitant l'accès sans une vérification locale.
- Bonnes pratiques : maintenir le système à jour, utiliser l'authentification multifacteur lorsque c'est possible et préférer des gestionnaires externes avec validations de sécurité robustes.
Contexte et limites
Il n'est pas rare que les navigateurs déplacent les identifiants entre un stockage chiffré et la mémoire vive lorsqu'ils interviennent dans le processus d'autofill. Si la sécurité dépend fortement de la mémoire, les attaquants peuvent exploiter des vulnérabilités du navigateur ou du système pour accéder à ces données. Microsoft a historiquement mis en avant des protections comme DPAPI et les mécanismes Windows pour limiter ce genre d'attaque, mais une meilleure transparence sur les flux d'accès serait utile pour les utilisateurs.
Pour terminer
En bout de ligne, le fait que Edge chiffre le stockage des mots de passe reste positif. Le point de vigilance porte sur la mémoire: tant que le mot de passe peut être lu temporairement par des composants du système ou des malwares, le risque n'est pas nul. Surveillez les mises à jour du navigateur et les rapports de sécurité pour connaître les éventuels correctifs ou évolutions du graphe de confiance.
