Un chercheur en cybersécurité norvégien, Tom Jøran Sønstebyseter Rønning, affirme que Microsoft Edge charge l’ensemble des mots de passe enregistrés dans son gestionnaire directement en mémoire vive sous forme déchiffrée, et ce dès le démarrage du navigateur. Une architecture que Microsoft ne considère pas comme une faille de sécurité, mais comme un compromis assumé entre performances, ergonomie et protection.
Le chercheur a publié début mai un outil de démonstration baptisé « EdgeSavedPasswordsDumper », capable d’extraire les identifiants stockés dans Edge depuis la mémoire du processus du navigateur. Selon lui, tous les mots de passe enregistrés sont déchiffrés et maintenus en mémoire, même lorsqu’ils ne sont jamais utilisés au cours de la session. Cette approche diffère de celle de Google Chrome, qui ne déchiffrerait les identifiants qu’au moment de leur utilisation effective.
Une extraction possible… mais sous conditions
Dans les faits, l’exploitation n’est pas triviale. Le programme nécessite des privilèges administrateur pour accéder à la mémoire des autres processus utilisateurs. Le chercheur lui-même reconnaît ne pas être parvenu à contourner cette exigence.
Le scénario présenté devient particulièrement sensible dans des environnements mutualisés : serveurs RDS, postes partagés, infrastructures VDI ou bastions d’administration. Si un attaquant obtient des droits élevés sur la machine, il peut alors analyser la mémoire des processus Edge de plusieurs sessions utilisateurs et récupérer les identifiants conservés en RAM.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Une incohérence de sécurité pointée par le chercheur
Le point qui suscite le plus de critiques concerne l’expérience utilisateur du gestionnaire de mots de passe d’Edge. Pour afficher un mot de passe enregistré dans l’interface du navigateur, l’utilisateur doit saisir son mot de passe Windows ou s’authentifier via Windows Hello. Pourtant, les identifiants sont déjà présents en clair dans la mémoire du processus Edge.
Pour Tom Rønning, cette réauthentification crée donc un « faux sentiment de sécurité ». Le contrôle protège l’interface graphique, mais pas réellement les secrets déjà déchiffrés en mémoire.
Chrome adopte une approche plus restrictive
Le chercheur indique avoir comparé plusieurs navigateurs basés sur Chromium. D’après ses tests, Edge serait le seul à charger l’ensemble des identifiants au lancement du navigateur.
Chrome utiliserait au contraire une stratégie dite de « lazy loading » : les mots de passe ne seraient déchiffrés qu’au moment de l’autoremplissage ou lors d’une consultation explicite par l’utilisateur. Le navigateur de Google s’appuie également sur App-Bound Encryption (ABE), un mécanisme liant les opérations de déchiffrement à un processus Chrome authentifié.
Résultat : les mots de passe n’apparaissent que brièvement en mémoire, réduisant la fenêtre d’exposition pour les outils de « memory scraping ».
Microsoft défend un arbitrage entre sécurité et performances
Interrogé par cybernews, Microsoft confirme que ce fonctionnement est volontaire. Un porte-parole du groupe explique que « les navigateurs accèdent aux données de mots de passe en mémoire pour permettre aux utilisateurs de se connecter rapidement et en toute sécurité » et que ces choix de conception cherchent « un équilibre entre performances, simplicité d’usage et sécurité ».
Le sujet met néanmoins en lumière un débat plus large autour des gestionnaires de mots de passe intégrés aux navigateurs. Longtemps présentés comme une alternative simple et suffisamment sécurisée pour le grand public, ils deviennent aujourd’hui des cibles privilégiées pour les outils d’infostealers et les attaques post-compromission.
