● Next INpact Télécom 📅 06/05/2026 à 11:19

Oui, Edge stocke les mots de passe en clair dans la mémoire, c’est normal selon Microsoft

Géopolitique 👤 Sébastien Gavois

🏷️ Tags : chine élévation de privilèges réseau rte stoc

Oui, Edge stocke les mots de passe en clair dans la mémoire, c’est normal selon Microsoft Toujours l’éternel combat : sécurité vs simplicité Illustration : Flock Sébastien Gavois Le 06 mai à 11h19 Un chercheur affirme, avec un prototype publié sur GitHub, que le navigateur Edge charge tous les mots de passe de son gestionnaire en clair dans la mémoire de l’ordinateur. N’importe qui peut donc y accéder ? Presque, il faut des droits administrateur tout de même. Microsoft confirme, ajoutant que c’est un comportement voulu. Une erreur ? Le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning explique sur les réseaux sociaux que le navigateur « Microsoft Edge charge tous vos mots de passe enregistrés en mémoire en clair – même lorsque vous ne les utilisez pas ». Si vous êtes admin, vous pouvez voir les mots de passe en clair Il propose un prototype sur GitHub permettant de vérifier ce qu’il en est sur sa machine. Un prérequis limite tout de même fortement la portée de ce que le chercheur présente comme une vulnérabilité : il faut des « droits d’administrateur (pour pouvoir lire la mémoire des processus Edge d’autres utilisateurs) ». Le chercheur confirme dans son fil de discussion sur X « ne pas avoir réussi à le faire fonctionner sans privilèges administrateur ». Nous avons testé le programme EdgeSavedPasswordsDumper du chercheur, avec succès sous Windows 11 avec Edge 147 (les deux étaient à jour)… à condition de lancer un terminal avec des droits administrateur. Dans ce cas, le programme retourne bien, l’ensemble des identifiants et mots de passe enregistrés dans Edge dans le terminal. Sans les droits administateur, le même terminal répond « [x] Not running elevated ». Ce sont ceux également visibles dans edge://settings/autofill/passwords, à la différence que pour voir les mots de passe enregistrés dans le navigateur, il faut entrer le mot de passe Windows « pour permettre cette opération », comme l’indique la fenêtre de validation qui s’est ouverte (voir les captures ci-dessous). La technique utilisée par le chercheur permet de s’affranchir de cette étape à condition, pour rappel, d’avoir déjà des droits d’administrateur. Il est « amusant » de voir Edge demander une validation alors que c’est déjà accessible librement, comme le prouve le programme du chercheur. « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi » Selon Tom Jøran Sønstebyseter Rønning, « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi. En revanche, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe sauvegardés simplement en lisant la mémoire des processus. Le navigateur ne déchiffre les identifiants que lorsque cela est nécessaire, au lieu de garder tous les mots de passe en mémoire en permanence ». Chrome, toujours selon le chercheur, a d’autres protections, faisant que « les mots de passe en clair ne sont visibles que brièvement lors du remplissage automatique ou lorsque l’utilisateur les consulte, ce qui rend l’extraction massive de données en mémoire beaucoup moins efficace ». Pour Tom Jøran Sønstebyseter Rønning, le risque est important dans des environnements partagés : « Si un attaquant obtient un accès administrateur sur un serveur, il peut accéder à la mémoire de tous les utilisateurs connectés (ou même les utilisateurs déconnectés) avec Edge en cours d’exécution ». On en revient toujours au même pré-requis important : être administrateur. Microsoft confirme : c’est voulu et même « by design » Le chercheur a contacté Microsoft, qui lui a répondu que c’est le comportement « by design » de son navigateur et qu’aucun correctif ne sera publié. Un porte-parole confirme à Cybernews, en détaillant davantage son point de vue : « Les choix de conception dans ce domaine visent à trouver un équilibre entre performance, facilité d’utilisation et sécurité, et nous continuons de les évaluer face à l’évolution des menaces. Les navigateurs accèdent aux données de mots de passe en mémoire pour permettre aux utilisateurs de se connecter rapidement et en toute sécurité ; il s’agit d’une fonctionnalité normale de l’application ». « L’accès aux données du navigateur, tel que décrit dans le scénario signalé, nécessiterait que l’appareil soit déjà compromis », ajoute Microsoft. En effet, il faut déjà être administrateur. Comme le montre Chrome avec une surface d’attaque plus limitée, il est tout de même possible de réduire les risques. Comme le fait remarquer un internaute sur X, cette affaire n’est pas sans en rappeler une autre de 2022 sur Chromium (la base de Chrome, Edge et d’autres navigateurs). Il enregistrait en clair des mots de passe et d’autres informations dans la mémoire de l’ordinateur. De manière générale, la communauté de la cybersécurité recommande davantage d’utiliser un gestionnaire de mot de passe dédié plutôt que ceux intégrés dans les navigateurs, notamment car la sécurité est leur première raison d’être. C’est également l’argument mis en avant par les gestionnaires de mots de passe qui prêchent évidemment pour leur paroisse. Sécurité [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden) Sécurité Vendredi 06 février 2026 à 12h12 06/02/2026 12h12 87 Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant. Accédez en illimité aux articles d'un média expert Profitez d'au moins 1 To de stockage pour vos sauvegardes Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous Zetny Premium Modifié à l'instant Message 1 Historique Signaler Bloquer cet utilisateur Le titre me fait penser au morceau "C'est normal" de Brigitte Fontaine et Areski Belkacem YouTube kqlomqro Premium Il y a 8 minutes Message 2 Signaler Bloquer cet utilisateur je vais réagir grâce au sous-titre et au contenu de l'article, car ce n’est pas un problème de sécurité vs simplicité. Un système simple est souvent plus facile à sécuriser.Le vrai sujet est plutôt un mauvais choix d’architecture, il est normal qu’un navigateur déchiffre temporairement un mot de passe lorsqu’il doit le saisir dans un formulaire, mais il n’est pas normal de conserver l’ensemble du coffre en mémoire ET en clair. Le fait qu’il faille être administrateur limite la portée de l’attaque mais ne l’annule pas, dans un contexte d’incident, de serveur RDS, de poste partagé ou d’élévation de privilèges, bref peu importe, c’est précisément le genre de comportement qui aggrave fortement l’INpact.Dans tout les cas, quelqu'un qui récupère un accès admin c'est fin du jeux. Baldurien Premium Il y a 6 minutes Message 3 Signaler Bloquer cet utilisateur Il faut déjà être administrateurC'est pas comme si les surfaces d'attaque (et le nombre de failles) augmentaient avec l'IA : tu cumules ça plus une autre faille permettant de passer admin depuis un compte non admin, et au final, tu peux facilement exfiltrer les mots de passe... Jarodd Premium Il y a 6 minutes Message 4 Signaler Bloquer cet utilisateur "It's not a bug, it's a feature!" Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui

🔗 Lire l'article original 👁️ 1 lecture

← Retour