Alors que d’après les dires de Microsoft, Edge devait être “révolutionnaire” et ayant comme but un net détachement d’Internet Explorer et de sa mauvaise réputation, voila que le cauchemar semble commencer… Edge aurait en effet les même failles de sécurité que IE.
Non, Microsoft Edge n’est pas un navigateur exempt de vulnérabilité avec une sécurité à toute épreuve ! L’inquiétant constat qui vient d’être fait est que les failles de sécurité d’Internet Explorer sont toujours là, élément qui prouverait que la base du fameux logiciel révolutionnaire soit identique à son prédécesseur, IE. On nous aurait menti ?
Edge – De grosses lacunes de sécurité
C’est le journaliste Woody Leonhard qui met au grand jour ce fait pour le moins étrange pour InfoWorld. En mai dernier le senior program manager de Micrsoft Edge, Crispin Cowan, annonçait plein d’optimisme dans un billet de blog titré « Microsoft Edge : construire un navigateur plus sûr » que :
« Avec Microsoft Edge, nous voulons améliorer fondamentalement la sécurité par rapport aux navigateurs existants et permettre aux utilisateurs de profiter en toute confiance du web à partir de Windows. Nous avons conçu Microsoft Edge de manière à protéger les utilisateurs d’attaques sophistiquées et de plus en plus répandues. »
L’article décrit ensuite longuement comment Edge est bien meilleur que le daté et décidément bien mauvais IE, car il inclut « des techniques de sandboxing de pointe, un compilateur, et des techniques de gestion de mémoire développées en lien étroit avec Windows ». En particulier, il promet que Edge serait un bien meilleur partenaire contre les sites malveillants et les sites clonés dédiés au phishing; qu’il en serait fini des ActiveX, du VB Script (Visual Basic Scripting Edition), des barres d’outils, des BHO (Browser Helper Object) ou encore du VML (Vector Markup Language). Edge doit également proposer des extensions sécurisées, des containers applicatifs en mode sandbox, ou encore une poubelle MemGC afin de protéger contre des attaques « user-after-free ». On note enfin la présence revendiquée de la fonctionnalité Visual Studio’s Control Flow Guard (/guard), et d’un tas d’autres options de sécurité.
Que cela soit vrai ou faux, Microsoft croit à son nouveau navigateur. C’est d’ailleurs sans doute pour cette raison que l’éditeur de Redmond fait tout pour le pousser auprès des utilisateurs de Windows 10 dans une démarche agressive outrepassant le choix d’un autre navigateur avant la mise à jour…
Edge déjà en perte de vitesse, un échec ?
Aujourd’hui, le constat est que Microsoft Edge est un échec, sa popularité auprès des utilisateurs est en chute libre. Mais la situation est encore pire si l’on ajoute les récents problèmes de sécurité et les fausses promesses.
En étudiant le contenu du dernier Patch Tuesday, on découvre un correctif MS15-124 à destination d’Internet Explorer, une mise à jour cumulative. La grosse surprise, c’est la présence d’un correctif analogue estampillé MS15-125 à destination de Microsoft Edge. Le chercheur en sécurité Woody Leonhard explique :
« Parmi les 15 trous colmatés dans Edge, 11 sont les même que dans IE. Cela prouve clairement que Edge est construit sur de vieilles fondations toutes pourries ! »
Il est clair que tout ceci ne peut être une coïncidence, comme l’explique Woody Leonhard. Quand on compare la liste officielle des CVE pour Edge et que l’on la compare avec la liste des CVE pour Internet Explorer, il s’avère que 14 CVE sont identifiées pour Microsoft Edge. Et sur ce nombre, 13 sont également identifiées comme des failles de sécurité pour Internet Explorer.
Ce constat est d’autant plus affligeant que Microsoft annonce aussi que les internautes doivent passer à la version la plus récente d’IE, Internet Explorer 11, et que les versions plus anciennes ne seront plus maintenues à partir du 12 janvier 2016.
En clair, des millions d’utilisateurs dans le monde vont se retrouver exposés, tout cela parce que Microsoft a décidé de ne plus maintenir les anciennes versions d’IE. Pire, son nouveau Edge n’est pas meilleur qu’Internet Explorer du point de vue de la sécurité. Bref, on comprend mieux pourquoi beaucoup se tournent vers Chrome, Firefox, Opera et consorts…
Source : ZDNet