Microsoft Edge montre un gros signe de faiblesse

Sorti en même temps que Windows 10, le navigateur Microsoft Edge avait jusqu’à présent été préservé des éventuelles attaques des cyberdélinquants. Quelques failles minimes ont été découvertes l’an passé, mais elles ont été rapidement comblées par l’éditeur de Redmond. Mais voilà qu’une vraie grosse faille concernant le filtre SmartScreen vient d’être découverte et qu’elle pourrait facilement mettre à mal le navigateur tant choyé de Microsoft.

Microsoft a fait de son navigateur Edge une forteresse inviolable, en y intégrant des outils de protection comme une sandbox encore plus puissante que celle d’Internet Explorer, un système de réputation de certificat, un module contrant la corruption de mémoire ou encore un filtre SmartScreen. Ce dernier s’affiche dès qu’une activité suspecte est détectée : il permet de bloquer instantanément la consultation d’une page Web ou un téléchargement jugé dangereux. Michael Cabbalero, un expert en sécurité, vient cependant de découvrir qu’il était possible pour un hacker de littéralement customiser le message qui se présente sur le SmartScreen, et donc de contourner les systèmes de protection du navigateur. Une fois la faille exploitée, il est possible à un attaquant de tromper l’utilisateur en prétendant qu’un site est dangereux, et en l’invitant à composer un numéro de téléphone. Il a également le moyen de modifier l’adresse qui s’affiche dans la barre du navigateur et de faire croire à l’utilisateur qu’il se trouve bien sur un site légitime, alors que ce n’est pas du tout le cas. Ou inversement : il peut aussi lui faire croire qu’un site légitime est dangereux et le pousser à visiter une autre page Web.

>> Windows 10 : le grand guide du dépannage

Michael Cabbalero a mis en place une démonstration à destination des internautes, dans laquelle chacun est invité à personnaliser le SmartScreen, et faire croire que n’importe quel site est potentiellement dangereux. La faille n’a pas encore été comblée par Microsoft et Michael Cabbalero ne souhaite pas la détailler auprès de l’éditeur de Redmond. Pourquoi cela ? Parce que Microsoft a ignoré toutes ses soumissions de bugs jusqu’à présent. Espérons simplement que les développeurs de Edge découvrent la faille d’eux-mêmes, à moins que Microsoft se décide à prendre l’expert en sécurité au sérieux pour gagner du temps et protéger plus rapidement les quelque 5,2% d’utilisateurs de Edge (source : Netmarketshare) ?

>> Antivirus : quelle est la meilleure suite de sécurité ?