Microsoft Edge, le nouveau navigateur par défaut dans Windows 10, a été conçu par le géant de Redmond comme un successeur plus rapide, plus fiable et sécurisé à Internet Explorer, dans le but de devenir une alternative digne de ce nom à Google Chrome et Mozilla Firefox.
Mais dans le domaine de la sécurité, il semble qu’il y a encore de la place à des améliorations. En effet, Microsoft Edge a été le navigateur le plus touché au concours de hacking Pwn2Own ce mois-ci.
Plus précisément, Microsoft Edge a été piraté pas moins de 5 fois, puisque la plupart des équipes participantes au concours ont axé leurs actions sur le nouveau navigateur de la firme de Redmond. Pour ce que ça vaut, Google Chrome a également été une cible, mais il était presque impossible de pirater le navigateur pendant le temps alloué.
La guerre contre Microsoft Edge
Dans les deux jours du concours, cinq équipes ont réussi à percer les entrailles de Microsoft Edge, l’un le premier jour, et quatre autres le second. L’équipe Ether de Tencent Security a reçu 80 000 dollars pour le piratage de Edge, avec une défaillance dans le code du moteur JavaScript Chakra du navigateur. Les équipes Lance et Snipe, également de Tencent Security, ont reçu 55 000 dollars chacune piratant une nouvelle fois le navigateur le deuxième jour du concours, avec des vulnérabilités de sécurité use-after-free (UAF) au sein du navigateur.
Un cabinet de recherche indépendant, Richard Zhu, a également découvert deux failles de sécurité UAF dans Microsoft Edge, et dans le noyau de Windows. La récompense a été de 55 000 dollars. Enfin, une équipe de 360 Security a piraté Edge avec un appel à la machine virtuelle grâce à des bugs dans les logiciels de Microsoft.
Comme mentionné précédemment, Google Chrome a prouvé être le plus difficile à percer au Pwn2Own cette année, puisqu’une seule équipe de Tencent Security, Sniper, a eu ce privilège, sans pour autant réussir par manque de temps.
Cela ne signifie pas nécessairement que les utilisateurs sont exposés à des attaques, mais Microsoft devrait corriger tous ces défauts avec des mises à jour dans Edge avant que Windows 10 Creators Update soit lancé le mois prochain.