A l’image de Firefox, Microsoft Edge dispose d’un gestionnaire de mot de passe. Comment fonctionne-t-il ? Que faut-il connaitre à son sujet. Voici les trois choses à savoir.
La sécurité en ligne passe par l’utilisation de mots de passe complexes. De plus il est impératif pour chaque compte utiliser des identifiants uniques et longs. Devant ces deux recommandations il devient évident que l’utilisation d’un gestionnaire de mots de passe est le seul moyen de gérer une telle complexité.
En tant que navigateur dit « moderne », Microsoft Edge s’accompagne de son propre gestionnaire de mots de passe. Du coup sur Internet il n’est plus nécessaire d’utiliser une application tierce. Le navigateur est capable de stocker des identifiants en toute sécurité. Ainsi il peut lors d’une prochaine connexion proposer de remplir à votre place les champs nécessaires pour s’identifier.
Voici trois choses à savoir à ce sujet
Les données sont stockées en local et surtout elles sont chiffrées.
Toutes les informations d’identification enregistrées par Microsoft Edge ne sont pas téléchargées sur un serveur. L’ensemble est stocké en local et protégé à l’aide d’un chiffrement AES.
Si un pirate veut prendre connaissance de ce contenu il va devoir trouver un moyen pour s’introduire dans le PC. Il lui faudra alors dénicher les identifiants administrateurs afin d’avoir accès à tout le contenu. Cependant l’affaire est plus complexe car il ne peut pas accéder aux mots de passe stockés dans un autre compte Edge. La méthode nécessite une connexion pour déchiffrer les informations d’identification.
Microsoft explique
Microsoft Edge stocke les mots de passe chiffrés sur le disque. Ils sont chiffrés à l’aide d’AES et la clé de chiffrement est enregistrée dans une zone de stockage du système d’exploitation (OS). Cette technique est appelée chiffrement local des données. Bien que toutes les données du navigateur ne soient pas cryptées, les données sensibles telles que les mots de passe, les numéros de carte de crédit et les cookies sont cryptées lorsqu’elles sont enregistrées.
Le gestionnaire de mots de passe Microsoft Edge chiffre les mots de passe afin qu’ils ne soient accessibles que lorsqu’un utilisateur est connecté au système d’exploitation. Même si un attaquant dispose de droits d’administrateur ou d’un accès hors ligne et peut accéder aux données stockées localement, le système est conçu pour empêcher l’attaquant d’obtenir les mots de passe en texte brut d’un utilisateur qui n’est pas connecté.
Mots de passe, les extensions peuvent les lire
Par contre si le navigateur est pensé pour protéger l’accès aux mots de passe, une extension compromise peut toujours exposer des informations d’identification. Par exemple un module complémentaire autorisé à lire ce qui se trouve sur une page peut lire et donc enregistrer le mot de passe rempli automatiquement par le navigateur. Dans ce cas un transfert de données peut avoir lieu vers un serveur distant. Le piratage ne concerne par contre que la page ouverte et en cours de consultation.
Face à ce risque la meilleure approche est de ne jamais installer des modules complémentaires et des extensions issus de sources inconnues et non fiables.
Le gestionnaire de mot de passe d’Edge n’utilise pas de mot de passe
Enfin contrairement à une application autonome le gestionnaire de mots de passe de Microsoft Edge n’utilise pas de mot de passe principal. En clair il ne demande pas un identifiant pour pouvoir accéder à son contenu. Selon Microsoft cela a du sens dans un navigateur surtout d’un point de vue “commodité”. Une telle fonction rendrait le remplissage des champs non automatique puisque l’utilisateur devrait avant toute chose fournir le mot de passe principal.
Redmond ajoute
Une fonctionnalité de mot de passe principal (qui authentifie l’utilisateur avant de remplir automatiquement ses données) offre un compromis pratique pour une atténuation plus large des menaces. Elle permet de réduire la fenêtre d’exposition des données contre les logiciels malveillants latents ou les attaquants locaux. Cependant, un mot de passe principal n’est pas une panacée, et les attaquants locaux et les logiciels malveillants dédiés ont diverses stratégies pour contourner la protection d’un mot de passe principal.