Microsoft Edge stockait tous vos mots de passe en clair

Un chercheur norvegien revele comment Edge exposait tous les mots de passe en memoire

Tom Joran Sonstebyseter Ronning, chercheur en securite norvegien, a mis au jour en mai 2026 un comportement particulierement problematique dans Microsoft Edge. En conduisant une analyse comparative de la gestion des mots de passe en memoire vive dans les principaux navigateurs bases sur Chromium, il a constate qu'Edge se distinguait de facon critique : au lancement du navigateur, Edge dechiffrait automatiquement l'integralite des identifiants stockes dans son gestionnaire de mots de passe et les conservait en clair dans la memoire de processus pour toute la duree de la session, y compris pour des sites que l'utilisateur n'avait aucune intention de visiter.

Le mecanisme en cause est une strategie de chargement dit anticipatoire (eager loading). Contrairement a Chrome, Brave, Opera ou Vivaldi qui ne dechiffrent les identifiants qu'a la demande, uniquement lorsque l'utilisateur accede a un site pour lequel un mot de passe est enregistre, Edge decidait de tout charger des le demarrage du navigateur. En pratique, si un utilisateur avait enregistre 200 identifiants dans Edge, les 200 paires login/mot de passe se retrouvaient en clair dans la memoire RAM du processus Edge quelques secondes apres l'ouverture du navigateur, attendant d'etre potentiellement lues par n'importe quel processus ayant acces a l'espace memoire.

Les consequences pratiques de ce design sont serieuses. Un attaquant disposant d'un acces local a la machine, que ce soit via un infostealer infiltre, un acces physique momentane a une session deverrouillee, ou un code malveillant en cours d'execution avec des privileges utilisateur standards, pouvait extraire l'ensemble du trousseau de mots de passe en une seule operation de lecture memoire. Des outils comme les dumpers de memoire utilises par les infostealers modernes (Lumma Stealer, RedLine Stealer et leurs derives) sont precisement concus pour parcourir l'espace memoire des processus navigateurs et en extraire des identifiants en clair. Avec Edge dans cet etat, une seule extraction fournissait la totalite des credentials sans effort supplementaire.

Microsoft a ete informe de la decouverte, et la reponse initiale de l'entreprise a deconcerte la communaute de la securite. L'equipe de Redmond a d'abord qualifie ce comportement de "decision de conception deliberee" (by design), laissant entendre que le risque etait considere comme acceptable. La justification implicite, qu'un attaquant ayant un acces local peut de toute facon faire beaucoup de degats, est un argument souvent utilise pour minimiser des vulnerabilites locales, mais elle contredit directement les principes de defense en profondeur et de moindre privilege qui sont la base de toute architecture de securite solide.

Cette position a provoque une reaction immediate dans la communaute de la securite informatique. Des publications specialisees comme Malwarebytes, Windows Central, PCWorld et Heise Online ont couvert l'histoire et amplifie les critiques. L'argument de securite est simple : meme si un attaquant est deja present sur le systeme, il n'est pas acceptable d'exposer plus de donnees que necessaire. La defense en profondeur suppose que chaque couche de protection doit limiter au maximum l'impact d'une compromission. Stocker 200 mots de passe en clair en memoire quand seuls trois sont necessaires dans la session courante est une violation evidente de ce principe fondamental.

Face a la pression croissante des chercheurs et des medias, Microsoft a finalement fait volte-face. La firme a annonce que, a compter de la version 148 d'Edge, le navigateur cesserait de charger l'ensemble des mots de passe en clair au demarrage. Le comportement corrige s'aligne desormais sur celui des autres navigateurs Chromium : les credentials ne sont dechiffres que lorsqu'ils sont effectivement necessaires. Selon les analystes qui ont pu tester la version corrigee, Edge offre maintenant un niveau de protection memoire globalement comparable a celui de Chrome et de ses derives.

Il est important de ne pas surinterpriter la portee du patch. Tous les navigateurs bases sur Chromium restent exposes a une extraction de mots de passe pendant le dechiffrement a la demande, c'est inherent a la nature du traitement des credentials en memoire. Les infostealers les plus sophistiques sont capables d'intercepter les mots de passe au moment precis de leur utilisation, meme avec un chargement a la demande. Mais la suppression du chargement anticipatoire massif reduit considerablement la fenetre d'exploitation et la quantite de donnees exposees lors d'une compromission breve ou partielle de l'endpoint.

Cet episode met egalement en lumiere l'importance du role des chercheurs independants dans l'amelioration de la securite des logiciels grand public. Sans la demarche comparative de Ronning et la couverture mediatique qui a suivi, ce comportement aurait pu rester dans l'ombre indefiniment. Microsoft, malgre ses ressources considerables et ses programmes de bug bounty, n'avait pas identifie, ou avait juge insuffisamment problematique, ce design pour le modifier proactivement. C'est la pression externe qui a finalement fait bouger les lignes.

Un incident revelateur des tensions entre ergonomie et securite par defaut

L'affaire Microsoft Edge s'inscrit dans un debat structurel plus large sur la securite des gestionnaires de mots de passe integres aux navigateurs. Ces fonctionnalites, adoptees massivement parce qu'elles simplifient l'experience utilisateur, sont devenues des cibles prioritaires pour les acteurs malveillants. Les infostealers representaient en 2025 l'une des categories de malwares commerciaux les plus dynamiques, avec des centaines de campagnes documentees visant specifiquement les credentials stockes dans Chrome, Edge, Firefox et leurs derives. L'incident Edge ne fait que confirmer que le gestionnaire de mots de passe du navigateur constitue une surface d'attaque a prendre au serieux dans toute strategie de securite endpoint.

Le cas d'Edge est particulierement significatif en raison de son statut de navigateur par defaut de Windows. Installe sur des centaines de millions de machines, il est massivement utilise dans les environnements professionnels, notamment via les integrations Microsoft 365 et Entra ID. Dans ce contexte, le gestionnaire de mots de passe integre contient souvent des identifiants d'acces aux ressources d'entreprise : portails VPN, outils collaboratifs, acces aux donnees sensibles. Une compromission de ces credentials via une extraction memoire aurait des consequences en cascade potentiellement devastatrices, bien au-dela des comptes personnels des utilisateurs.

La reponse initiale de Microsoft contraste avec les engagements de l'entreprise dans le cadre de son Secure Future Initiative (SFI), lance en 2023 en reponse aux critiques du Cyber Safety Review Board americain concernant une serie de compromissions majeures. Ce programme fait de la securite by design une priorite absolue. L'episode Edge est interprete par certains analystes comme un signe que la transformation culturelle visee par le SFI n'est pas encore complete, et que les reflexes de minimisation des risques persistent dans certaines equipes produit.

Pour les RSSI et les equipes IT, les enseignements pratiques de cet incident sont multiples. Ne jamais supposer que les comportements de securite d'un logiciel grand public sont conformes aux meilleures pratiques, meme chez les grands editeurs. Dans les environnements a fort enjeu, envisager de restreindre l'usage des gestionnaires de mots de passe integres aux navigateurs au profit de solutions dediees dont les garanties de securite memoire sont mieux documentees et regulierement auditees. Les detections EDR ciblant les acces memoire inter-processus sur les processus navigateurs representent une couche de protection complementaire precieuse, meme en environnement patche.

Ce qu'il faut retenir

• Mettre a jour Microsoft Edge vers la version 148 ou superieure immediatement pour eliminer le chargement en clair de tous les mots de passe au demarrage du navigateur.
• Dans les environnements sensibles, preferer des gestionnaires de mots de passe dedies avec des garanties de securite memoire documentees, plutot que les solutions integrees aux navigateurs.
• Cet incident rappelle que meme les grands editeurs peuvent integrer des comportements non securises ; la vigilance des chercheurs independants reste indispensable a l'amelioration continue de la securite logicielle.