● 01net 📅 05/05/2026 à 11:42

Microsoft Edge met en danger vos mots de passe, et l'éditeur est au courant

Géopolitique 👤 Florian Bayard
Illustration
© Microsoft Microsoft Edge met vos mots de passe à la portée des cybercriminels. Un chercheur a révélé que le navigateur charge l’ensemble de vos identifiants en clair dans la mémoire vive dès son ouverture, ce qui ouvre la porte à des cyberattaques. Microsoft reconnait et assume ce fonctionnement, estimant que la sécurité des données ne peut être garantie si la machine elle-même est compromise. Lorsqu’un utilisateur enregistre ses mots de passe dans Microsoft Edge, ces informations sont théoriquement chiffrées sur le disque dur de l’ordinateur. Microsoft utilise en effet AES (Advanced Encryption Standard), un algorithme de chiffrement très répandu, pour chiffrer ces données sensibles. Concrètement, votre mot de passe est transformé en une suite de caractères illisibles, avant d’être stocké dans un fichier détenu sur votre ordinateur. Par sécurité, Microsoft Edge prend aussi le temps de protéger la clé qui permet de déchiffrer le mot de passe. Celle-ci est glissée dans une zone sécurisée du système d’exploitation appelée DPAPI (Data Protection API) sur Windows.Sur le papier, ce mécanisme doit empêcher un attaquant, présent sur votre machine, de pouvoir déchiffrer vos mots de passe s’il obtient la version chiffrée par l’algorithme. À lire aussi : Désinstallez vite ces 17 extensions Chrome, Edge et Firefox, ce sont des mouchards chinois Comment Microsoft Edge met en danger vos mots de passe ? Malheureusement, le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning a découvert que Microsoft Edge stocke temporairement vos mots de passe en clair dans la mémoire de votre ordinateur dès que le navigateur est lancé. Dès que vous ouvrez le navigateur, celui-ci déchiffre en effet l’ensemble de vos identifiants enregistrés pour les charger dans la mémoire vive de votre appareil. Durant toute la session d’utilisation du navigateur, ces données restent stockées dans cette mémoire sous la forme de texte clair. Bref, vos mots de passe se retrouvent donc à la merci des cybercriminels. Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB — Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026 « Lorsque vous enregistrez des mots de passe dans Edge, le navigateur déchiffre chaque identifiant au démarrage et les conserve en mémoire vive du processus. Cela se produit même si vous ne visitez jamais un site utilisant ces identifiants », explique le chercheur. Si un pirate informatique déploie un logiciel malveillant sur votre ordinateur, il peut se retrouver en mesure de consulter tous vos mots de passe, sans devoir se soucier de la clé de déchiffrement. Le virus n’aura qu’à accéder à la mémoire vive de la machine. Pas besoin de contourner les protections du disque dur ou de tenter de déchiffrer les fichiers stockés. Comme l’a remarqué le chercheur à l’origine de la découverte, Microsoft Edge est le seul navigateur basé sur Chromium à agir de la sorte. À l’inverse, « Chrome utilise une architecture qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe enregistrés en lisant simplement la mémoire du processus », détaille l’expert, qui a prévenu Microsoft de sa découverte. L’éditeur a répondu en précisant que « ce comportement est “by design” (voulu)». À lire aussi : Microsoft corrige une faille du navigateur Edge, installez la mise à jour Microsoft reconnait ses limites Sur son site web, Microsoft justifie le fonctionnement d’Edge par la recherche d’un certain équilibre entre la sécurité et l’expérience utilisateur. L’éditeur indique qu’une fois que le navigateur est lancé et que l’utilisateur est bien authentifié sur Windows, les données doivent être accessibles pour que le remplissage automatique fonctionne. Si un ordinateur est totalement compromis par un logiciel malveillant, la plupart des protections logicielles atteignent de toute façon leurs limites. « Les navigateurs Internet (y compris Microsoft Edge) ne sont pas équipés de défenses pour se protéger contre les menaces lorsque l’ensemble de l’appareil est compromis en raison d’un programme malveillant exécuté en tant qu’utilisateur sur l’ordinateur », souligne l’éditeur dans sa documentation officielle. En d’autres termes, Microsoft estime qu’il n’est pas vraiment possible de protéger les mots de passe si votre ordinateur est compromis. Microsoft reconnaît par ailleurs que « si votre ordinateur est infecté par un programme malveillant, une personne malveillante peut obtenir un accès déchiffré aux zones de stockage du navigateur », et que « le code de l’attaquant, qui s’exécute en tant que compte d’utilisateur, peut faire tout ce que vous pouvez faire ». 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. edgefaille de sécuritéMicrosoftmicrosoft edge Florian Bayard Sur le même sujet Microsoft Defender déraille : en voulant bloquer des pirates, l’antivirus a semé la pagaille sur Windows Cette faille vieille de 9 ans touche plusieurs milliards d’appareils Une faille des puces Qualcomm permet de pirater votre smartphone en quelques minutes, êtes-vous touché ? Une faille Windows permet de voler votre mot de passe, et des hackers russes s’en sont rendu compte Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en mai 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités French Days : NordVPN chute à 2,87 €/mois, -75 %, l’offre se termine ce soir Microsoft Edge met en danger vos mots de passe, et l’éditeur est au courant Steam fait un carton : sa nouvelle manette est déjà introuvable Pixel 11 : Google repousserait encore l’innovation qui lui permettrait d’égaler l’iPhone Messages iPhone–Android : Apple corrige (enfin) le plus gros défaut Ce hacker a piraté des milliers de comptes Facebook, mais il a fait une grosse erreur Poco F8 Ultra : sous la barre des 500 €, ce puissant smartphone haut de gamme n’a aucun rival Fini l’attente au Supercharger ? Tesla va prédire l’affluence avant même votre arrivée Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour