Un chercheur en sécurité a révélé que Microsoft Edge déchiffre chaque mot de passe stocké dans la mémoire de processus au lancement du navigateur, les conservant en texte clair pendant toute la session, que les utilisateurs visitent ou non les sites associés. Le chercheur, connu sous le nom de @L1v1ng0ffTh3L4N, a présenté ses résultats à BigBiteOfTech et a confirmé par des tests qu’Edge est unique parmi les principaux navigateurs basés sur Chromium pour ce comportement.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Lors de l’événement, présenté par PaloAltoNtwks Norvège, le chercheur a également présenté un outil de vérification public permettant aux utilisateurs de vérifier les informations d’identification en texte clair dans la mémoire de processus d’Edge. Suite à cela, une démonstration vidéo a été diffusée le 4 mai 2026, accumulant près de 6 000 réponses sur les plateformes de réseaux sociaux.
La réponse de Microsoft indique que le comportement de gestion est « prévu par la conception ». Le contraste avec Google Chrome est frappant ; Chrome déchiffre les informations d’identification uniquement lorsque cela est nécessaire à l’aide du décryptage à la demande et du chiffrement lié à l’application, qui lie les clés de décryptage à un processus de navigateur authentifié pour empêcher tout accès non autorisé.
Edge ne dispose pas de ces protections, ce qui signifie que chaque identifiant enregistré devient vulnérable car il reste exposé en texte brut dès le lancement. Notamment, le navigateur invite les utilisateurs à se réauthentifier avant de révéler les mots de passe, mais toutes les informations d’identification sont toujours visibles en mémoire, ce qui compromet l’efficacité de cette mesure de sécurité.
Angus Holliday, spécialiste principal des opérations de sécurité, a souligné que la politique de chiffrement lié aux applications ne sécurise pas les données en mémoire, mais uniquement les clés de chiffrement des données stockées localement. La documentation de Microsoft reconnaît que les attaques locales et les vulnérabilités des logiciels malveillants ne relèvent pas du modèle de menace du navigateur.
Les environnements partagés ou multi-utilisateurs sont particulièrement menacés, dans lesquels les privilèges administratifs permettent à un attaquant d’accéder à la mémoire de tous les utilisateurs connectés. Une preuve de concept a démontré comment un compte administrateur pouvait extraire les informations d’identification stockées de la mémoire de processus Edge d’autres utilisateurs, soulevant d’importants problèmes de sécurité organisationnelle.
De nombreux professionnels du secteur ont critiqué l’approche de Microsoft sur des plateformes comme LinkedIn, plaidant pour des mesures de protection plus strictes contre les attaques locales. La documentation existante indique que Microsoft Edge ne peut pas se protéger contre les menaces compromettant l’ensemble de l’appareil.
Les organisations qui utilisent exclusivement Edge sont confrontées à des risques de configuration accrus en raison de ce choix de conception intentionnel plutôt que d’un défaut réparable. Ces préoccupations sont amplifiées pour les entreprises impliquées dans les déploiements de serveurs de terminaux, de VDI et de systèmes d’accès partagé.
