La découverte a été faite par le chercheur en sécurité norvégien Tom Jøran Sønstebyseter Rønning, qui a systématiquement analysé le comportement des navigateurs basés sur Chromium.
Son analyse a révélé que Microsoft Edge est le seul à adopter cette pratique risquée : il déchiffre l’intégralité du coffre-fort des mots de passe au démarrage pour le conserver en clair dans la mémoire de son processus.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Cette exposition se produit dès le lancement du navigateur et persiste durant toute la session, transformant le gestionnaire de mots de passe intégré en une cible de choix pour les attaquants ayant accès à la machine.
Cette méthode contraste radicalement avec celle de ses concurrents, comme Google Chrome, qui adoptent une approche bien plus sécurisée. Le plus déconcertant ? Microsoft a qualifié ce comportement de « conforme au design » et n’a aucune intention de le modifier.
Quelle est précisément cette vulnérabilité qui touche les mots de passe sur Edge ?
La vulnérabilité, classifiée CWE-316 (Stockage d’informations sensibles en clair dans la mémoire), est aussi simple que préoccupante. Dès que vous lancez Edge, le navigateur accède à votre fichier de mots de passe chiffrés, les déverrouille tous, et les place dans la mémoire vive (RAM) de votre ordinateur sous une forme parfaitement lisible.
Ils y restent pendant toute la durée de votre session, même si vous ne visitez jamais les sites correspondants. Cette approche transforme la mémoire du navigateur en une véritable mine d’or pour un attaquant.
Un logiciel malveillant ou un pirate ayant obtenu des droits d’administration sur la machine peut simplement scanner la mémoire du processus Edge pour récolter l’ensemble de vos identifiants.
La situation est encore plus critique dans les environnements multi-utilisateurs, comme les serveurs d’entreprise (RDS ou Terminal Servers), où un seul administrateur compromis pourrait siphonner les mots de passe de dizaines d’utilisateurs connectés simultanément.
Comment Google Chrome gère-t-il les mots de passe de manière plus sûre ?
La comparaison avec Google Chrome met en lumière le caractère anachronique de la méthode d’Edge. Chrome, bien que basé sur le même projet open-source Chromium, emploie une stratégie nettement plus robuste.
Premièrement, il ne déchiffre les mots de passe qu’au cas par cas, c’est-à-dire uniquement au moment où vous en avez besoin pour remplir automatiquement un formulaire sur un site web. Le mot de passe ne reste donc en clair dans la mémoire que pour une fraction de seconde.
Deuxièmement, Chrome ajoute une couche de protection supplémentaire appelée App-Bound Encryption (un mécanisme qui lie les clés de déchiffrement au processus authentifié du navigateur).
Concrètement, cela empêche un autre programme sur l’ordinateur d’utiliser les clés de chiffrement de Chrome pour déverrouiller vos identifiants. C’est une forteresse numérique à plusieurs niveaux, là où Edge se contente d’une simple porte qui reste grande ouverte après votre passage.
Quelle est la réponse officielle de Microsoft face à cette découverte ?
Après avoir été notifiée par le chercheur, la réponse de Microsoft a été laconique : ce comportement relève du « by design », c’est à dire qu’il est intentionnel. Selon l’entreprise, les attaques locales où un pirate a déjà accès à la mémoire du système sortent du « modèle de menace » du navigateur.
En d’autres termes, si un attaquant peut lire la RAM de votre PC, Microsoft considère que la partie est déjà perdue et que la sécurité du navigateur n’est plus pertinente.
Cette justification offre une sécurité en trompe-l’œil. Le navigateur demande bien une authentification (via Windows Hello, par exemple) pour afficher les mots de passe dans son interface, donnant à l’utilisateur un faux sentiment de contrôle.
Pourtant, en coulisses, toutes les données sont déjà exposées. C’est une posture qui fait grincer des dents car elle ignore le principe de « défense en profondeur », où chaque application doit rester la plus résiliente possible même sur un système partiellement compromis.
Faut-il en conclure qu’il faut abandonner le gestionnaire de mots de passe d’Edge ?
Compte tenu du risque et du refus de Microsoft de corriger cet élément de son navigateur, il est fortement déconseillé de confier ses identifiants au gestionnaire intégré d’Edge.
Si un attaquant peut accéder à la mémoire de votre machine, c’est effectivement un problème grave mais il n’y a aucune raison de lui faciliter la tâche en lui servant tous vos accès sur un plateau.
La meilleure pratique en matière de sécurité reste l’utilisation d’un gestionnaire de mots de passe dédié (comme Bitwarden, 1Password, etc). Ces outils sont spécifiquement conçus pour protéger vos secrets avec des architectures de chiffrement bien plus solides et des politiques de gestion de la mémoire infiniment plus strictes que ce que propose actuellement le navigateur de la firme de Redmond.