IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft Edge : les mots de passe sont stockés en clair dans la mémoire, alors que le gestionnaire de mots de passe d'Edge semble sécurisé, avec un stockage chiffré et protégé

Le , par Alex
2 commentaires

79PARTAGES

7  0 
Microsoft Edge : les mots de passe sont stockés en clair dans la mémoire, le gestionnaire de mots de passe d'Edge semble sécurisé, avec un stockage chiffré et protégé par Windows Hello, mais stocke en clair

Les gestionnaires de mots de passe sont censés aider à stocker les identifiants de connexion en toute sécurité, en évitant aux utilisateurs d'avoir à les mémoriser. En général, elles sont stockées dans le cloud avec un chiffrement de bout en bout. Les mots de passe ne devraient également être déchiffrés en mémoire que pendant un court laps de temps. Cependant, le gestionnaire de mots de passe de Microsoft dans le navigateur Edge échoue sur ce point. Selon un rapport, les mots de passe sont stockés en clair dans la mémoire.

Microsoft Edge est un navigateur web propriétaire développé par la société américaine Microsoft depuis 2015, et basé sur Chromium depuis 2020. Il fut conçu pour remplacer Internet Explorer. Edge est installé par défaut avec Windows 10 et Windows 11, et est disponible également sur macOS et Linux, ainsi que sur mobile avec des versions Android et iOS. Edge utilise Microsoft Bing comme moteur de recherche par défaut, et intègre également d'autres services Microsoft.

Un gestionnaire de mots de passe est un logiciel qui évite la fatigue liée aux mots de passe en générant, en remplissant automatiquement et en stockant les mots de passe. Ils sont utiles pour les applications locales ou les applications Web telles que les boutiques en ligne ou les réseaux sociaux. Les navigateurs Web ont généralement un gestionnaire de mots de passe intégré. Les gestionnaires de mots de passe exigent généralement que l'utilisateur crée et mémorise un mot de passe principal unique pour déverrouiller la base de données et accéder aux mots de passe stockés. Les gestionnaires de mots de passe peuvent intégrer l'authentification multifactorielle et l'authentification par clé d'accès.

Les gestionnaires de mots de passe sont censés aider à stocker les identifiants de connexion en toute sécurité, en évitant aux utilisateurs d'avoir à les mémoriser. De plus, ces outils pratiques peuvent transcender les limites des appareils et gérer les données de connexion de la même manière sur les smartphones, les ordinateurs de bureau et les ordinateurs portables. En général, elles sont stockées dans le cloud avec un chiffrement de bout en bout. Les mots de passe ne devraient également être déchiffrés en mémoire que pendant un court laps de temps. Cependant, le gestionnaire de mots de passe de Microsoft dans le navigateur Edge échoue sur ce point.

Tom Jøran Sønstebyseter Rønning attire l'attention sur ce problème dans un post publié sur X. Un test simple confirme cette vulnérabilité. Avec le gestionnaire de mots de passe activé dans Microsoft Edge, il suffit de créer un compte avec un mot de passe. Pour consulter, récupérer ou modifier ces données, Microsoft Edge exige une authentification via Windows Hello. Les données semblent ainsi bien protégées. Pour vérifier, fermez le navigateur et redémarrez Microsoft Edge. Edge n'affiche alors plus que sa page d'accueil. Il est désormais possible de créer un vidage de mémoire du navigateur à l'aide du Gestionnaire des tâches. Une simple recherche du mot de passe à l'aide d'un éditeur hexadécimal permet d'obtenir le mot de passe complet, en clair, dans la mémoire

Microsoft Edge charge tous vos mots de passe enregistrés en mémoire sous forme de texte en clair, même lorsque vous ne les utilisez pas.


Ce type de gestion des mots de passe dans la mémoire du processus n'est plus à la pointe de la technologie depuis longtemps. Selon les principes de sécurité courants, les mots de passe ne devraient être déchiffrés qu'au moment de leur utilisation et supprimés de la mémoire très peu de temps après. Le fait que Microsoft charge même tous les mots de passe en mémoire, alors que les sites web sur lesquels ils sont utilisés n'ont même pas encore été visités, constitue également un anachronisme flagrant.

Cela relève de la catégorie de vulnérabilité CWE-316, « Stockage en clair d'informations sensibles en mémoire ». Microsoft devrait rectifier cela rapidement. Cependant, un rapport révèle que Rønning a reçu une réponse de Microsoft concernant le rapport de vulnérabilité, indiquant qu'il s'agissait d'un choix de conception conscient et intentionnel. Les utilisateurs devraient donc rechercher d'autres gestionnaires de mots de passe pour des raisons de sécurité.

Lors de son test des gestionnaires de mots de passe en décembre dernier, l'Office fédéral pour la sécurité de l'information (BSI) a explicitement exclu le gestionnaire de mots de passe de Microsoft Edge. Cependant, un test des logiciels VPN et des gestionnaires de mots de passe réalisé en août 2024 a également révélé de telles vulnérabilités dans certains produits.

Depuis novembre 2025, Microsoft Edge permet aux utilisateurs Windows de créer, enregistrer et synchroniser des clés d'accès via son gestionnaire de mots de passe intégré. Basées sur la norme ouverte FIDO2, les clés d'accès permettent une authentification sans mot de passe prise en charge par de grandes entreprises telles que Meta, Google et X. Elles sont stockées dans le cloud sous forme chiffrées et protégées par un code PIN défini par l'utilisateur. Mais ce nouveau rapport suscite des doutes à la fiabilité du gestionnaire de mots de passe de Microsoft Edge.

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Les correcteurs orthographiques de Chrome et de Edge peuvent entraîner une fuite de mots de passe, selon Otto-js

27 vulnérabilités ont été découvertes dans les gestionnaires de mots de passe basés sur le cloud : Bitwarden, LastPass, Dashlane et 1Password. Ces vulnérabilités pourraient exposer les coffres-forts

Les gestionnaires de mots de passe sont les nouvelles cibles des hackers : 25 % des logiciels malveillants ciblent désormais ces magasins de mots de passe, selon une nouvelle étude de Picus Security
Vous avez lu gratuitement 308 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

2 commentaires
Commenter Signaler un problème
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 06/05/2026 à 10:26
En résumé? Le professionnalisme de microsoft
1  0 
Reclad
Avatar de Reclad
Futur Membre du Club https://www.developpez.com
Le 06/05/2026 à 11:42
La vulnérabilité sur Edge est bien entendu lamentable (faux sentiment de sécurité avec Windows Hello/TPM) mais en soit le problème est natif sur l'ensemble des navigateurs.
Ce genre de vulnérabilités sont parfaitement connus et documentés dans le milieu de la cyber-sécurité. Voici la sous-technique "Credentials from Web Browsers" associé à MITRE : https://attack.mitre.org/techniques/T1555/003/
Je vous partages quelques paragraphes :
"Web browsers typically store the credentials in an encrypted format within a credential store; however, methods exist to extract plaintext credentials from web browsers.[/B]"
"For example, on Windows systems, encrypted credentials may be obtained from Google Chrome by reading a database file, AppData\Local\Google\Chrome\User Data\Default\Login Data and executing a SQL query: SELECT action_url, username_value, password_value FROM logins;. The plaintext password can then be obtained by passing the encrypted credentials to the Windows API function CryptUnprotectData, which uses the victim’s cached logon credentials as the decryption key."

En terme des différentes exploitations enregistrés (en vrac et pas forcément à jour) :
"CookieMiner can steal saved usernames and passwords in Chrome as well as credit card credentials."
"Empire can use modules that extract passwords from common web browsers such as Firefox and Chrome."
"BeaverTail has also been known to collect login data from Firefox within key3.db, key4.db and logins.json from /.mozilla/firefox/ for exfiltration."

Bref ce n'est pas nouveau, non Microsoft avec Edge n'est pas le seul à avoir des soucis à gérer le credential store de leur navigateur.
Dans le milieu cyber, une seule chose est recommandé : Ne jamais utiliser ou enregistrer ses password via les credential store d'un navigateur. Utiliser exclusivement des outils tiers comme un Vault ou Keepass (et hélas eux aussi sont parfois vulnérables).

Je vous invite à lire la documentation de Chromium sur ce sujet : https://chromium.googlesource.com/ch...rds-Local-Data
"The reason the password is masked is only to prevent disclosure via “shoulder-surfing” (i.e. the passive viewing of your screen by nearby persons), not because it is a secret unknown to the browser. The browser knows the password at many layers, including JavaScript, developer tools, process memory, and so on. When you are physically local to the computer, and only when you are physically local to the computer, there are, and always will be, tools for extracting the password from any of these places."
1  0