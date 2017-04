Une énorme faille de sécurité au sein de Microsoft Edge vient d'être découverte : Manuel Caballero, un expert en sécurité argentin, a réussi sans trop de difficultés à mettre à mal le gestionnaire de mot de passe du navigateur de Microsoft.



Le navigateur de Microsoft, réputé pour sa légèreté (mais qui reste très impopulaire auprès des internautes), souffrirait en effet d'une énorme faille, qui permettrait à un pirate de voler le mot de passe de n'importe quel internaute connecté à Twitter, Facebook, Amazon, etc. Manuel Caballero montre sa technique dans la vidéo ci-dessous. Le pirate commence par envoyer un faux lien à base d'iframes à l'utilisateur « Charles Darwing » sur Twitter. Dès qu'il clique dessus depuis Microsoft Edge, le pirate parvient à récupérer son mot de passe et ses cookies. Si le vol de mot de passe est possible, c'est à cause de la SOP de Edge (same-origin policy) et la façon dont le navigateur conserve les précieux sésames dans son gestionnaire. Celui-ci complète les champs d'identification dès que l'utilisateur s'est déconnecté.

Démonstration d'une faille UXSS/SOP dans Microsoft Edge.

Selon Caballero, cette faille n'a pas encore été corrigée. Contacté à ce sujet, un porte-parole de Microsoft a répondu à nos confrères de Tom's Hardware que « Microsoft s'engage auprès de ses clients d'enquêter sur les problèmes de sécurité, et de mettre à jour de manière proactive les appareils concernés aussitôt que possible. Notre politique standard est de fournir des solutions via notre calendrier actuel du Patch Tuesday. »



En attendant qu'un correctif soit déployé, l'unique solution est donc de faire appel à un navigateur concurrent (Firefox, Chrome, Opera...). Rappelons par ailleurs que le navigateur est encore loin de rencontrer le succès escompté par Microsoft : selon NetMarketShare, on dénombre 5,61% d'utilisateurs à travers le monde. À titre de comparaison, Firefox convainc 11,79% d'internautes, Internet Explorer 18,95% et Chrome 58,64%.



