Un chercheur en sécurité a révélé le 29 avril 2026 que Microsoft Edge déchiffre chaque mot de passe stocké dans la mémoire du processus lors du lancement et les conserve en texte clair pendant toute la session, quelle que soit l’activité de l’utilisateur. Cette découverte, présentée à BigBiteOfTech, soulève d’importantes préoccupations concernant la gestion des informations d’identification dans les environnements Windows partagés. Le chercheur, connu sous le nom de @L1v1ng0ffTh3L4N, a mené une analyse systématique des principaux navigateurs basés sur Chromium, révélant qu’Edge était le seul navigateur à conserver l’intégralité du coffre-fort de mots de passe dans la mémoire en clair au démarrage, selon Cyber Security News.
La divulgation comprenait un outil de vérification public permettant aux utilisateurs de vérifier si leur navigateur Edge contient des informations d’identification en texte clair. Le 4 mai, le chercheur Tom Joran Sonstebyseter Ronning a publié une démonstration vidéo de ses résultats, qui a généré peu de temps après 5 900 réponses. Microsoft a répondu à la divulgation en déclarant que ce comportement était « intentionnel ».
La gestion des mots de passe d’Edge s’écarte fortement des pratiques de Google Chrome. Cyber Security News a souligné que Chrome utilise le décryptage à la demande, déverrouillant les informations d’identification uniquement lorsque cela est nécessaire, et utilise le cryptage lié à l’application, qui lie les clés de décryptage à un processus authentifié. En revanche, Edge charge toutes les informations d’identification enregistrées en texte brut dès son lancement, les exposant ainsi à d’éventuelles attaques d’extraction basées sur la mémoire.
Même si les utilisateurs sont invités à se réauthentifier avant de révéler leurs mots de passe, les mêmes informations d’identification sont accessibles en mémoire, ce qui rend ces invites inefficaces contre les attaques basées sur la mémoire. Angus Holliday, spécialiste principal des opérations de sécurité, a précisé que le chiffrement lié aux applications de Microsoft protège les données au repos mais ne sauvegarde pas la mémoire. La documentation relative aux politiques de Microsoft, mise à jour le 27 janvier 2026, indique que la désactivation du chiffrement lié aux applications pourrait permettre à des applications non autorisées d’accéder aux clés de chiffrement.
Cette vulnérabilité est prononcée dans les environnements partagés ou multi-utilisateurs. Un attaquant disposant de privilèges administratifs peut lire la mémoire de tous les processus utilisateur connectés, entraînant ainsi une exposition potentielle des informations d’identification de plusieurs utilisateurs. Une vidéo publique de validation de principe montrait qu’un compte administrateur extrayait avec succès les informations d’identification stockées d’autres utilisateurs en accédant à la mémoire du processus Edge.
Microsoft reconnaît que sa documentation publique concernant le gestionnaire de mots de passe d’Edge reconnaît la vulnérabilité des informations d’identification en mémoire, mais classe ces attaques comme étant extérieures au modèle de menace du navigateur. La documentation prévient que des attaques locales ou des logiciels malveillants peuvent accéder au stockage déchiffré du navigateur, ce qui soulève des inquiétudes quant aux risques inhérents à la conception d’Edge, en particulier pour les organisations qui standardisent son utilisation.
Mike Pedrick, responsable de la sécurité de l’information, a noté que certaines organisations imposent Edge comme seul navigateur autorisé, privilégiant la normalisation plutôt que la sécurité. Cyber Security News a conseillé aux équipes de sécurité exploitant des environnements Windows avec Edge d’envisager de migrer vers des navigateurs dotés de meilleures pratiques de sécurité jusqu’à ce que Microsoft modifie ce problème de conception.
Sur le marché mondial des navigateurs, Edge détenait une part de 7,018 % au premier trimestre 2025, se classant troisième derrière Chrome et Safari. Cependant, sa part de marché est nettement plus élevée dans les environnements d’entreprise, où Edge est souvent le navigateur par défaut sur les appareils Windows gérés, ce qui soulève des problèmes de gestion des données, en particulier dans les secteurs du marketing et de la publicité.
