Microsoft Edge stockerait tous les mots de passe enregistrés en clair dans la mémoire vive dès l’ouverture du navigateur. Le comportement, signalé par le chercheur Tom Jøran Sønstebyseter Rønning, a été confirmé par Microsoft comme un choix de conception.
Un risque surtout critique en entreprise
Selon Rønning, Edge déchiffre l’ensemble des identifiants sauvegardés au démarrage, même si l’utilisateur ne visite jamais les sites concernés. À l’inverse, Chrome ne déchiffre généralement un mot de passe qu’au moment du remplissage automatique et s’appuie aussi sur l’Application-Bound Encryption pour compliquer l’extraction des clés.
Microsoft estime que l’exploitation nécessite déjà un accès administrateur à la machine, ce qui correspond à une compromission avancée.
Mais dans des environnements partagés — VDI, Citrix, serveurs de terminal — ce choix peut élargir le périmètre d’attaque en exposant les identifiants d’autres sessions ouvertes.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Le problème : la confiance implicite
Techniquement, Microsoft défend un arbitrage entre rapidité, confort et sécurité. Mais, le signal envoyé est délicat : Edge demande une réauthentification pour afficher les mots de passe dans son interface, alors que ces mêmes secrets peuvent déjà se trouver en clair en mémoire.
Ce décalage crée une fausse sensation de protection. Pour un particulier, le risque reste surtout lié à un malware déjà très intrusif. Pour une entreprise, il devient plus sérieux, car les infostealers modernes ciblent précisément ces fenêtres d’exposition.
Que faire dans Edge ?
Le conseil le plus prudent reste de ne pas stocker ses mots de passe critiques dans le navigateur. Un gestionnaire dédié, protégé par un mot de passe maître solide et une authentification multifacteur, offre généralement une meilleure séparation des risques.
Edge n’est pas soudainement inutilisable. Mais cette affaire rappelle une vérité inconfortable : le confort des navigateurs a un prix, et ce prix se paie parfois en surface d’attaque.