Lorsqu’un utilisateur enregistre ses mots de passe dans Microsoft Edge, ces informations sont théoriquement chiffrées sur le disque dur de l’ordinateur. Microsoft utilise en effet AES (Advanced Encryption Standard), un algorithme de chiffrement très répandu, pour chiffrer ces données sensibles. Concrètement, votre mot de passe est transformé en une suite de caractères illisibles, avant d’être stocké dans un fichier détenu sur votre ordinateur.
Par sécurité, Microsoft Edge prend aussi le temps de protéger la clé qui permet de déchiffrer le mot de passe. Celle-ci est glissée dans une zone sécurisée du système d’exploitation appelée DPAPI (Data Protection API) sur Windows.Sur le papier, ce mécanisme doit empêcher un attaquant, présent sur votre machine, de pouvoir déchiffrer vos mots de passe s’il obtient la version chiffrée par l’algorithme.
À lire aussi : Désinstallez vite ces 17 extensions Chrome, Edge et Firefox, ce sont des mouchards chinois
Comment Microsoft Edge met en danger vos mots de passe ?
Malheureusement, le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning a découvert que Microsoft Edge stocke temporairement vos mots de passe en clair dans la mémoire de votre ordinateur dès que le navigateur est lancé. Dès que vous ouvrez le navigateur, celui-ci déchiffre en effet l’ensemble de vos identifiants enregistrés pour les charger dans la mémoire vive de votre appareil. Durant toute la session d’utilisation du navigateur, ces données restent stockées dans cette mémoire sous la forme de texte clair. Bref, vos mots de passe se retrouvent donc à la merci des cybercriminels.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
« Lorsque vous enregistrez des mots de passe dans Edge, le navigateur déchiffre chaque identifiant au démarrage et les conserve en mémoire vive du processus. Cela se produit même si vous ne visitez jamais un site utilisant ces identifiants », explique le chercheur.
Si un pirate informatique déploie un logiciel malveillant sur votre ordinateur, il peut se retrouver en mesure de consulter tous vos mots de passe, sans devoir se soucier de la clé de déchiffrement. Le virus n’aura qu’à accéder à la mémoire vive de la machine. Pas besoin de contourner les protections du disque dur ou de tenter de déchiffrer les fichiers stockés. Comme l’a remarqué le chercheur à l’origine de la découverte, Microsoft Edge est le seul navigateur basé sur Chromium à agir de la sorte. À l’inverse, « Chrome utilise une architecture qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe enregistrés en lisant simplement la mémoire du processus », détaille l’expert, qui a prévenu Microsoft de sa découverte. L’éditeur a répondu en précisant que « ce comportement est “by design” (voulu)».
À lire aussi : Microsoft corrige une faille du navigateur Edge, installez la mise à jour
Microsoft reconnait ses limites
Sur son site web, Microsoft justifie le fonctionnement d’Edge par la recherche d’un certain équilibre entre la sécurité et l’expérience utilisateur. L’éditeur indique qu’une fois que le navigateur est lancé et que l’utilisateur est bien authentifié sur Windows, les données doivent être accessibles pour que le remplissage automatique fonctionne. Si un ordinateur est totalement compromis par un logiciel malveillant, la plupart des protections logicielles atteignent de toute façon leurs limites. « Les navigateurs Internet (y compris Microsoft Edge) ne sont pas équipés de défenses pour se protéger contre les menaces lorsque l’ensemble de l’appareil est compromis en raison d’un programme malveillant exécuté en tant qu’utilisateur sur l’ordinateur », souligne l’éditeur dans sa documentation officielle.
En d’autres termes, Microsoft estime qu’il n’est pas vraiment possible de protéger les mots de passe si votre ordinateur est compromis. Microsoft reconnaît par ailleurs que « si votre ordinateur est infecté par un programme malveillant, une personne malveillante peut obtenir un accès déchiffré aux zones de stockage du navigateur », et que « le code de l’attaquant, qui s’exécute en tant que compte d’utilisateur, peut faire tout ce que vous pouvez faire ».
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
