Le nouveau navigateur de Microsoft est édité sur une politique précise : améliorer la sécurité de navigation web des utilisateurs de Windows. Seulement, une publication de la MITRE, organisation soutenue par le département de la sécurité intérieure des États-Unis a semé le doute. Est-ce que ces défaillances éliminent les promesses de sécurité annoncée sur Edge ?
EDGE est conçue par des technologies de pointe
On doit la première publication en termes de sécurité sur EDGE à l’exploration du journaliste AméricainWoody Leonhard. Il a rapporté en mai 2015 dans inforWord les publications du programme senior manager de Microsoft sur EDGE. Ce dirigeant a écrit un blog intitulé « Microsoft Edge : construire un navigateur plus sûr. Dans ce blog plein d’optimisme, le manager explique les bases d’amélioration de sécurité du nouveau Navigateur : Microsoft edge sera mieux que les autres navigateurs existants en termes de sécurité. Il rapporte qu’Edge permet aux utilisateurs de profiter du web en toute confiance, et ce, à partir de Windows. Aussi le programme manager explique les conceptions du successeur d’IE. Selon lui, ces qualités assureront la protection des utilisateurs face aux attaques les plus sophistiquées répandues en ce moment.
Voici donc les qualités qui feront d’edge un bien meilleur navigateur que son prédécesseur Internet Explorer. Edge inclut les techniques de sandboxing de pointe, un compilateur, et des techniques de gestion de mémoire développées en lien étroit avec Windows. En plus, Edge assurera une protection particulière contre les sites malveillants et les faux sites. Et cela, grâce à l’utilisation d’ ActiveX, du VB (Visual Basic Scripting Edition), des barres d’outils, des BHO (browser Helper Object) ou encore du VML (VectorMarkupLunguage). Par-dessus tout cela, Edge met à disposition des extensions sécurisées, des containers applicatifs en mode sandbox, et aussi une poubelle MemGC de protection contre les attaques user afterfree. Et enfin, le programmeur annonce la présence de la fonctionnalité Visual Studio’s Control Flow guard et d’autres packs d’options de sécurité.
Edge présente des failles de sécurité similaires avec Internet Explorer
Tuesday patch de décembre et celle de novembre 2015 a permis de tirer une conclusion que ces outils d’amélioration n’apportent à Edge rien de « plus » en termes de sécurité. Malgré ce fait, les deux Tuesday patch ont aussi permis un bon jugement en sécurité sur le navigateur.
Ces conclusions sont causées par le CVE commonvulnerabilities and exposures. C’est un dictionnaire des informations publiques de vulnérabilités de sécurité.aux USA, ce document est détenu par le MITRE. La publication successive d’IE et d’Edge dans cette liste signifie que les problèmes de sécurité d’Edge sont hérités de l’IE. Ce fait est illustré par les deux releases du Tuesday patch de décembre : la MS 15 124 pour IE et MS 15 125 pour Edge. 11 problèmes détectés sur Internet Explorer sont encore vus sur Edge. Selon Woodyleonhard, on a comparé les listes officielles des CVE pour edge et les CVE pour IE. Résultat : 13 des 14 CVE identifiés sur Edge étaient déjà sur Internet Explorer. Malgré tout cela, des améliorations de la sécurité de navigation Internet sont constatées sur Edge.
