Edge garde vos mots de passe sans les verrouiller mais Microsoft prétend que c’est normal
Un chercheur en sécurité vient de démontrer que le navigateur de Microsoft conservait vos mots de passe en clair dans la mémoire de votre ordinateur.
Le chercheur norvégien Tom Jøran Sønstebyseter Rønning a documenté le mécanisme : à chaque démarrage d’Edge, le navigateur déchiffre l’intégralité des identifiants enregistrés et les maintient en mémoire vive, qu’ils soient utilisés ou non pendant la session. Le site Heise.de a reproduit et confirmé le phénomène : le mot de passe restait lisible en clair même après fermeture et réouverture du navigateur.
Ce qui distingue cette situation d’une faille classique, c’est la réponse de l’éditeur : Contacté, Microsoft a confirmé que ce comportement était délibéré. Pas un bug. Un choix.
La comparaison avec Chrome est cinglante, d’autant que les deux navigateurs partagent le même moteur Chromium. Google a implémenté un mécanisme baptisé App Bound Encryption qui chiffre les données sensibles du navigateur et empêche leur exposition en mémoire. Imparfait, il constitue quand même une barrière réelle qui exige des vraies compétences avancées. En revanche, exploiter la faille d’Edge ne requiert aucune expertise particulière.
Le directeur général de Beauceron Security, David Shipley, a résumé sèchement la situation : si Google est capable de sécuriser son navigateur, rien ne justifie que Microsoft ne puisse pas en faire autant. Pour lui, la vraie explication est ailleurs : Edge étant distribué gratuitement, la motivation de pousser la sécurité au-delà du strict minimum est structurellement absente.
Ce que ça change pour vos pratiques
L’incident met en lumière une question que les professionnels de la sécurité posent depuis longtemps : confier ses mots de passe à un navigateur est-il raisonnable ? La réponse de la communauté est largement non. Les navigateurs sont des logiciels généralistes exposés à une surface d’attaque massive, et la gestion des identifiants n’y est qu’une fonction secondaire.
Des solutions dédiées comme NordPass (développé par l’équipe de NordVPN) ou Proton Pass, l’offre du groupe suisse Proton (qui possède aussi Proton VPN) qui est connu pour son engagement en matière de confidentialité, ont été conçues avec la sécurité comme priorité absolue : chiffrement de bout en bout, architecture zero-knowledge, audits indépendants. Ce sont des produits dont le seul mandat est de protéger vos accès au même titre que leur VPN, et non pas de vous vendre un abonnement Microsoft 365.
