● Le Journal du Geek 📅 11/05/2026 à 23:27

Edge stocke vos mots de passe sans les chiffrer : ce que Microsoft ne vous dit pas

Intelligence Artificielle 👤 Journal du Geek
Illustration
© Canva Il y a quelques jours, le monde célébrait le World Password Day, cette journée annuelle censée rappeler l’importance de protéger ses accès numériques. Un timing savoureux, donc, pour la révélation du chercheur norvégien Tom Jøran Sønstebyseter Rønning : le navigateur Edge de Microsoft conserverait les mots de passe enregistrés en texte clair dans la mémoire vive de l’ordinateur, et ils seraient accessibles, sans chiffrement, à quiconque saurait où regarder. Le mécanisme est aussi simple qu’inquiétant : à chaque démarrage de Microsoft Edge, le navigateur déchiffrerait l’ensemble des identifiants stockés et les maintiendrait en mémoire qu’ils soient utilisés ou non lors de la session. Le site allemand Heise.de a reproduit et confirmé le phénomène : même après fermeture et réouverture du navigateur, le mot de passe restait lisible en clair. La découverte a été ensuite signalée à Microsoft qui a répondu que ce comportement était… intentionnel. Une faille ou une fonctionnalité ? C’est précisément cette réponse qui a mis le feu aux poudres dans la communauté de la cybersécurité. David Shipley, le directeur général de Beauceron Security, ne mâche pas ses mots : pour lui, qualifier une faille de “fonctionnalité” est une façon commode d’esquiver toute responsabilité qui est comparable aux classiques “ça fonctionne comme prévu” que les éditeurs sortent lorsqu’ils ne veulent pas corriger un problème. Il pointe une logique de commodité qui prime sur la sécurité et il estime que Microsoft n’a tout simplement pas la motivation de faire mieux, puisque Edge est distribué gratuitement. La comparaison avec Google Chrome est d’autant plus cinglante qu’elle porte sur un navigateur issu du même moteur Chromium. Google a en effet intégré un mécanisme baptisé “App Bound Encryption” qui chiffre les données du navigateur et empêche qu’elles soient stockées ou accessibles en clair dans la mémoire. Ce n’est pas une solution parfaite (elle a déjà été contournée par des attaquants déterminés) mais elle représente une barrière réelle. Ce type d’incident repose une question plus fondamentale : peut-on faire confiance aux gestionnaires de mots de passe intégrés aux navigateurs ? La réponse de beaucoup d’experts en sécurité est non, et ce depuis longtemps. Les navigateurs sont des logiciels généralistes qui sont exposés à une surface d’attaque considérable, et la gestion des identifiants n’est qu’une fonction parmi des dizaines d’autres. À l’inverse, des outils dédiés comme NordPass – qui est le gestionnaire développé par l’équipe de NordVPN ou ExpressKeys, celui d’ExpressVPN (comme détaillé sur le site de 01net), ont été conçus spécifiquement pour sécuriser des mots de passe avec un chiffrement de bout en bout, une architecture pensée pour résister aux attaques et aucun intérêt à sacrifier la sécurité sur l’autel de la commodité. Cette année encore un peu plus, le World Password Day ressemble davantage à un rappel douloureux qu’à une célébration. L’affaire Edge en est la dernière illustration : des millions d’utilisateurs confient leurs accès bancaires, professionnels ou médicaux à un navigateur dont l’éditeur juge normal de laisser ces données exposées en mémoire. 🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins. Partagez 𝕏 Signaler une erreur NomPrénomNomAdresse de contact *L'erreur concerne *Une / des fautes d'orthographeUne formulation erronéeLe sens même de l'articleErreur à signaler à l'équipe du JDG *EmailEnvoyer OVNI : le Pentagone publie 160 dossiers secrets, dont des observations d’Apollo 11 Les dernières actualités Edge stocke vos mots de passe sans les chiffrer : ce que Microsoft ne vous dit pas OVNI : le Pentagone publie 160 dossiers secrets, dont des observations d’Apollo 11 Netflix : voici la liste des codes secrets pour naviguer dans le catalogue caché Piraté, ce site officiel a distribué un malware à la place du vrai logiciel : le gestionnaire de téléchargements JDownloader demande aux utilisateurs piégés de prendre des mesures Anthropic vous offre 90% de réduction sur votre facture Claude, et presque personne ne le sait J’ai vu le premier film intégralement fait en IA et c’est exactement ce que vous imaginez French Days : 5 offres à saisir d’urgence sur Joybuy pour les gamers Claude Mythos : l’intelligence artificielle d’Anthropic est tellement puissante qu’elle a explosé un benchmark (le développeur doit faire une mise à jour)
← Retour