Cette décision intervient après que le chercheur en sécurité Tom Jøran Sønstebyseter Rønning a révélé le 4 mai que toutes les informations d'identification stockées dans le gestionnaire de mots de passe intégré d'**Edge** étaient déchiffrées au lancement et conservées en mémoire, même lorsqu'elles n'étaient pas utilisées. Cela exposait un vecteur d'attaque potentiel pour les acteurs malveillants disposant de privilèges suffisants. ## Preuve de concept et réponse initiale Rønning a également publié un outil de preuve de concept (PoC), disponible sur [GitHub](https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper), démontrant comment les attaquants disposant de privilèges d'administrateur pouvaient extraire les mots de passe des processus **Edge** d'autres utilisateurs. Sans privilèges d'administrateur, le PoC permet d'accéder aux processus **Edge** lancés par le même utilisateur. Il a signalé le problème à **Microsoft**, pour se voir répondre que le comportement était "par conception". "**Edge** est le seul navigateur basé sur Chromium que j'ai testé et qui se comporte de cette manière. En comparaison, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d'extraire les mots de passe enregistrés en lisant simplement la mémoire du processus", a déclaré Rønning. ## Le changement d'avis Malgré la défense initiale de cette pratique, **Microsoft** a maintenant annoncé que les futures versions d'**Edge** ne chargeront plus les mots de passe enregistrés en mémoire au démarrage. Cette décision intervient même si le scénario signalé s'inscrit dans le modèle de menace existant de **Microsoft**, qui exclut les attaques où un adversaire a déjà le contrôle administratif d'un appareil. "Ce changement de défense en profondeur sera appliqué à toutes les versions prises en charge d'**Edge** (Stable, Beta, Dev, Canary et le canal Extended Stable utilisé par nos clients d'entreprise), et nous donnons la priorité au déploiement", a déclaré Gareth Evans, responsable de la sécurité d'**Microsoft Edge**, dans un [article de blog](https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-werechanging-and-why/). "Avec notre engagement envers la Secure Future Initiative et les retours de nos clients, nous adoptons une vision plus large. Cela signifie examiner non seulement si quelque chose répond aux critères d'un problème de sécurité, mais aussi où nous pouvons réduire l'exposition grâce à des améliorations de la défense en profondeur. Dans ce cas, réduire l'exposition des mots de passe en mémoire est une étape pratique dans cette direction." ## Disponibilité La correction est déjà disponible sur le canal **Edge** Canary et sera incluse dans la prochaine mise à jour de toutes les versions prises en charge d'**Edge** (build 148 et plus récentes). ## Autres améliorations de sécurité récentes dans Edge L'année dernière, **Microsoft** a également introduit une nouvelle fonctionnalité de sécurité **Edge** pour protéger les utilisateurs contre les extensions malveillantes chargées latéralement dans le navigateur web et a restreint l'accès au mode Internet Explorer d'**Edge** après que des pirates ont commencé à exploiter des exploits zero-day dans le moteur JavaScript Chakra pour accéder aux appareils ciblés. <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> ## Le fossé de validation : les tests d'intrusion automatisés répondent à une question. Vous en avez besoin de six. Les outils de tests d'intrusion automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)