Windows 10 est victime d’une faille de sécurité mettant en danger les mots de passe des utilisateurs du système d’exploitation. C’est un chercheur en sécurité de Google, Tavis Ormandy, qui est à l’origine de cette désagréable découverte. Certaines versions de l’OS disposent du gestionnaire Keeper directement préinstallé sur leur ordinateur via une extension pour navigateur web, cette vulnérabilité permet aux hackers d'accaparer les mots de passe des utilisateurs.

Le système d’exploitation de Microsoft, Windows 10, est souvent montré du doigt pour ses failles de sécurité. Certains analystes estiment que ce dernier est plus vulnérable en 18 mois que ne l’a été Windows 7 en 5 ans. Une position pas vraiment élogieuse pour le géant de Redmond. Un chercheur en sécurité de Google pointe une nouvelle fois du doigt Microsoft. En effet, Tavis Ormandy n’en est pas à son coup d'essai, il a déjà à plusieurs reprises mis en évidence les carences de Windows 10.

Windows 10 : les mots de passe mis en danger par une faille de sécurité

Certains utilisateurs ont Keeper installé directement sous Windows 10. Tavis Ormandy a prouvé qu’il était facile pour un site malveillant de récupérer les mots de passe des utilisateurs en se servant d’une faille de l’extension. Le chercheur en sécurité a posté sa trouvaille sur les réseaux sociaux pour la partager au plus grand nombre. Voici une partie de ses propos mis en ligne sur Twitter.

J'ai créé une nouvelle machine virtuelle Windows 10 avec une image vierge de MSDN et j'ai remarqué qu'un gestionnaire de mot de passe tiers est maintenant installé par défaut. Il n'a pas fallu longtemps pour trouver une vulnérabilité critique.

Heureusement pour les utilisateurs, il ne semble que personne n’ait encore été confronté à ce problème pour le moment. L’équipe en charge du développement du gestionnaire de mots de passe Keeper a décidé de proposer une mise à jour à destination de ses extensions pour Edge, Chrome et Firefox. Dans le cas où vous n’utilisez de toute façon pas ce coffre fort numérique, vos mots de passe ne sont en théorie pas en danger. Ce n’est pas la première faille de sécurité critique dont fait l’objet Windows 10, Microsoft avait déjà été mis à mal par FireEye, une entreprise spécialisée dans la cybersécurité qui permet d’y installer un malware facilement. Dans tous les cas, il est important de rester prudent lorsque l’on surfe sur le web, nous ne sommes jamais vraiment à l’abri.

I created a new Windows 10 VM with a pristine image from MSDN, and noticed a third party password manager is now installed by default. It didn't take long to find a critical vulnerability. https://t.co/dbkznucgLm

— Tavis Ormandy (@taviso) 15 décembre 2017