Microsoft Edge envoie à Microsoft les URLs complètes des sites que vous visitez

Selon un chercheur en sécurité, le navigateur Microsoft Edge est problématique. Il se montre très curieux au point de transmettre des informations sur les usages de l’utilisateur. La version présente en natif avec Windows 10 envoie aux serveurs de Microsoft les URL complètes des sites que vous visitez.

Selon le chercher Matt Weeks, Microsoft a mis en place dans son navigateur Microsoft Edge des outils de surveillance des usages. En parallèle des fonctions de collectes et d’envois de données sont présentes. Elles concernent beaucoup de choses dont des informations sur les pages visitées mais aussi le SID. Il s’agit de l’identificateur de sécurité.

Matt Weeks explique sur Twitter.

“Apparemment, Edge envoie à Microsoft l’URL complète des pages que vous visitez (moins quelques sites populaires). Et, contrairement à ce qu’affirme la documentation, celle collecte inclut votre identifiant de compt […].”

Cette découverte est liée à une fonctionnalité nommée SmartScreen. Son but est de protéger les utilisateurs contre les sites Web potentiellement dangereux.  Microsoft utilise une liste de sites signalés et connus. SmartScreen fonctionne en analysant l’URL afin de savoir si elle appartient à ladite « liste ». Pour ce faire la page que vous visitez est soumise à un serveur Microsoft pour déterminer si le site doit être autorisé ou non.

Microsoft Edge et Windows 10, un navigateur trop curieux ?

Matt Weeks a toutefois découvert que les informations envoyées ne concernent pas seulement la page en question. Elles incluent le SID. Microsoft explique

“Un identificateur de sécurité (SID) est utilisé pour identifier de manière unique une entité de sécurité ou un groupe de sécurité. Les entités de sécurité peuvent représenter toute entité pouvant être authentifiée par le système d’exploitation, telle qu’un compte d’utilisateur, un compte d’ordinateur, un thread ou un processus s’exécutant dans le contexte de sécurité d’un compte d’utilisateur ou d’ordinateur. “

En théorie, en incluant cet identifiant SID dans ses rapports, Microsoft a la possibilité de savoir qui visite quoi. Par défaut, SmartScreen pour Microsoft Edge est configuré sur l’option «Avertir ».

Attention Microsoft indique dans sa déclaration de confidentialité que certaines informations sont effectivement transmises car c’est ainsi que fonctionne SmartScreen

«Lors de la vérification d’un fichier, les données relatives à ce fichier sont envoyées à Microsoft, notamment le nom du fichier, un hachage du contenu du fichier, l’emplacement de téléchargement et les certificats numériques du fichier. »

Selon Matt Weeks, ce système est problématique et non anonyme bien que la documentation de Redmond mentionne le contraire.

Il peut donc être amélioré. Il explique

«Firefox, Chrome et Safari n’envoient pas votre historique de navigation à leurs « suzerains » dans le nuage, contrairement à Edge. Ils comparent les préfixes de hachage d’URL de 4 octets avec les mauvaises listes de hachage téléchargées ».

Microsoft n’a pas le moment pas commenté cette découverte.