Microsoft Edge stockait tous les mots de passe en clair dans la RAM - corrige dans Edge 148

24.05.2026 2
Microsoft Edge stockait tous les mots de passe en clair dans la RAM - corrige dans Edge 148

Microsoft Edge stockait les mots de passe en clair dans la mémoire des processus - une réalité dangereuse et longtemps méconnue des utilisateurs du deuxième navigateur de bureau le plus populaire au monde. Lorsqu'un chercheur en sécurité a publié une démonstration de faisabilité, la première réaction de Microsoft a été d'affirmer que ce comportement était "by design" - autrement dit, intentionnel. Sous la pression publique, l'entreprise a fait marche arrière et annoncé qu'Edge 148 modifierait la gestion des identifiants en mémoire. Cet épisode rappelle avec force que les gestionnaires de mots de passe intégrés aux navigateurs ne sont pas les coffres-forts sécurisés que la plupart des utilisateurs imaginent.

Ce qu'Edge faisait de vos mots de passe

Le chercheur en sécurité Tom Jøran Rønning a publié une preuve de concept montrant que Microsoft Edge déchiffre l'intégralité de vos mots de passe enregistrés au démarrage et conserve chaque identifiant en clair dans la mémoire du processus - pendant toute la durée de la session de navigation, que vous visitiez ou non ces sites ou que la saisie automatique soit déclenchée.

Ce n'est pas ainsi que les autres navigateurs basés sur Chromium traitent les mêmes données. Chrome, par exemple, ne charge un mot de passe en clair en mémoire qu'au moment précis où l'utilisateur demande explicitement à le consulter dans le gestionnaire de mots de passe, ou lorsque la saisie automatique est activée pour cet identifiant précis. Edge faisait l'inverse : tout était déchiffré d'un coup et laissé en RAM.

La conséquence concrète : tout processus disposant de privilèges administrateur sur votre machine - un logiciel malveillant, une application compromise ou un attaquant à distance avec un accès élevé - pouvait lire tous vos mots de passe enregistrés en analysant la mémoire du processus Edge. Inutile de casser un chiffrement, inutile d'accéder au disque - il suffisait de lire ce qu'Edge avait déjà décodé.

L'argument "By Design" de Microsoft - et le recul

Lorsque les découvertes de Rønning ont été rendues publiques, Microsoft a d'abord affirmé que le stockage des mots de passe en clair en mémoire était une décision de conception délibérée. L'argumentation de l'entreprise : cette approche accélère la saisie automatique et la connexion, et lire la mémoire d'un autre processus nécessite de toute façon une machine compromise ou un accès élevé - un scénario que Microsoft considérait hors du périmètre de la sécurité du navigateur.

Cet argument n'a pas résisté à l'examen public. La logique de la "machine déjà compromise", parfois appelée "minimisation en cas de compromission", est précisément la raison d'être de la recherche en sécurité : une fois que des attaquants sont sur votre machine, limiter ce qu'ils peuvent récolter est crucial. Laisser tous les mots de passe enregistrés déchiffrés en RAM pendant toute la session est tout le contraire d'une gestion des dommages.

Sous la pression de la communauté de la sécurité, Microsoft a revu sa position. À partir d'Edge 148, le navigateur ne préchargera plus tous les mots de passe stockés en mémoire sous forme non chiffrée. Les identifiants suivront désormais le même modèle que Chrome : ils ne seront chargés en clair en mémoire qu'au moment où ils sont réellement nécessaires.

Vérifiez votre version d'Edge : Si vous utilisez une version d'Edge inférieure à 148 et son gestionnaire de mots de passe intégré, tous vos identifiants enregistrés sont actuellement déchiffrés dans la mémoire du processus pendant toute la durée de votre session de navigation.

Pourquoi la situation est plus grave que Microsoft ne l'a admis

L'argument "il faut des droits admin de toute façon" néglige plusieurs scénarios d'attaque réels où des mots de passe en clair dans la RAM représentent un risque supplémentaire significatif :

  • Malwares de capture mémoire : Les voleurs d'identifiants analysent systématiquement la mémoire des processus des navigateurs. La conception d'Edge rendait cela trivial - aucun travail de déchiffrement requis.
  • Attaques inter-processus : Certaines classes de vulnérabilités permettent à des processus avec des privilèges moindres de lire la mémoire de processus avec des privilèges plus élevés, en contournant les protections normales du système d'exploitation.
  • Analyse forensique de la mémoire vive : Les forces de l'ordre et des acteurs malveillants procédant à une analyse de la mémoire vive d'une machine en cours d'exécution pourraient extraire tous les identifiants enregistrés sans jamais toucher la base de données chiffrée sur le disque.
  • Machines partagées ou gérées : Dans les environnements d'entreprise, plusieurs utilisateurs ou administrateurs informatiques peuvent avoir accès à des outils d'inspection de la mémoire susceptibles d'exposer les identifiants d'une autre session.

L'ampleur de l'exposition compte également. Edge est l'un des navigateurs les plus utilisés au monde, avec des centaines de millions d'installations dans les environnements grand public et professionnels. Le gestionnaire de mots de passe est une fonctionnalité centrale, pas un cas marginal. Une faille de conception à ce niveau touche un nombre considérable d'utilisateurs qui ont fait confiance au navigateur pour gérer leurs identifiants en toute sécurité.

Ce que vous devriez faire maintenant

Jusqu'au déploiement d'Edge 148 sur votre appareil, l'exposition est active. Voici des mesures concrètes pour réduire votre risque :

  1. Vérifiez votre version actuelle d'Edge à l'adresse edge://settings/help - si elle est inférieure à 148, le problème est présent.
  2. Supprimez les mots de passe sensibles du gestionnaire intégré d'Edge et migrez-les vers une application de gestion de mots de passe autonome. Les gestionnaires autonomes chiffrent les identifiants au repos et ne les déchiffrent en mémoire qu'au moment de leur utilisation.
  3. Activez les mises à jour automatiques d'Edge pour qu'Edge 148 s'installe dès sa disponibilité dans votre canal.
  4. Vérifiez si des comptes professionnels ou administrateurs sont stockés dans Edge sur des machines partagées ou gérées par une entreprise, où d'autres utilisateurs ou le personnel informatique pourraient avoir accès aux outils d'inspection de la mémoire.

La leçon de fond est d'ordre architectural. Les gestionnaires de mots de passe intégrés aux navigateurs sacrifient une frontière de sécurité importante au profit de la commodité. Lorsqu'un navigateur conserve tous les identifiants déchiffrés en RAM, le chiffrement protégeant ces mots de passe sur le disque n'offre aucune protection contre un attaquant ou un logiciel malveillant ayant accès au processus en cours d'exécution. Un gestionnaire de mots de passe dédié, en revanche, fonctionne dans un espace mémoire séparé avec un cycle de déchiffrement strictement contrôlé.

Cet incident souligne également l'importance de la recherche indépendante en sécurité. La position initiale "by design" de Microsoft aurait perduré indéfiniment sans un PoC public forçant la mise en lumière du problème. La capacité de la communauté de la sécurité à examiner, remettre en question et exposer le comportement de logiciels largement déployés est un contrepoids essentiel aux décisions des éditeurs qui affectent des centaines de millions d'utilisateurs.

Conclusion : La décision de Microsoft Edge de déchiffrer tous les mots de passe enregistrés au démarrage et de les conserver en clair dans la RAM était une grave erreur de conception que l'entreprise a d'abord défendue avant de faire discrètement marche arrière sous pression publique. Mettez à jour vers Edge 148 dès que disponible, et considérez les gestionnaires de mots de passe intégrés aux navigateurs comme des fonctionnalités pratiques plutôt que comme des fondations de sécurité pour vos identifiants les plus sensibles.
Sources :
Microsoft says Edge's plaintext password behavior is "by design" - Malwarebytes
Microsoft is changing Edge's plaintext password behavior - Malwarebytes
Microsoft Edge Stores Passwords in Process Memory, Posing Risk - Dark Reading
Étiquettes: cybersecurity security privacy microsoft data breach internet security

À lire aussi

Discord active l'E2EE par défaut pour les appels vocaux et vidéo
20.05.2026
Discord active l'E2EE par défaut pour les appels vocaux et vidéo
La police saisit First VPN : 506 utilisateurs desanonymises
21.05.2026
La police saisit First VPN : 506 utilisateurs desanonymises
Pays-Bas : 800 serveurs DDoS russes saisis, deux arrestations
23.05.2026
Pays-Bas : 800 serveurs DDoS russes saisis, deux arrestations
Retour à la liste des articles