Il y a visiblement des trous dans la raquette du gestionnaire de mots de passe intégré à Edge. Selon le chercheur Tom Jøran Sønstebyseter Rønning, le navigateur de Microsoft charge tous les mots de passe enregistrés sous forme de texte accessible en clair, même lorsqu’ils ne sont pas sollicités. La faille a été testée sur la version 147.0.3912.98 de Edge, et Microsoft ne semble pas vouloir la corriger.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
Le site Heise.de a confirmé la faille avec un petit test. Il a enregistré un nouveau mot de passe dans le gestionnaire, qui n’est censé être accessible qu’après un déverrouillage. Le journaliste a alors redémarré le navigateur avant d’aller effectuer un vidage mémoire du processus Edge via le Gestionnaire des tâches Windows. La copie faisait 670 Mo, et il a suffi d’une recherche pour retrouver en clair le mot de passe enregistré précédemment.
Le problème est préoccupant, et d’autant plus surprenant que le dernier mot de passe n’avait même pas été utilisé. En pratique, les mots de passe ne devraient être déchiffrés qu’au moment de leur utilisation et effacés de la mémoire très rapidement. Ici, d’après les tests de Rønning et de Heise, Edge semble charger les identifiants en mémoire même si les sites web concernés n’ont rien demandé. Certes, un attaquant capable de récupérer la RAM de la machine aura sans doute déjà d’autres leviers à sa disposition, mais cela reste un angle mort gênant pour un gestionnaire de mots de passe.
Rønning affirme avoir rapporté sa trouvaille à Microsoft, qui aurait expliqué qu’il ne s’agissait pas d’un bug, mais d’une feature. Selon son post LinkedIn, Microsoft aurait déclaré que ce comportement était « by design » (par conception). Une réponse étonnante pour un comportement qui, sans être forcément exploitable à distance tel quel, réduit fortement l’intérêt d’un gestionnaire censé garder les mots de passe hors de portée.
Le comportement ne semble pas généralisé à tous les navigateurs Chromium. Rønning affirme qu’Edge est le seul navigateur basé sur Chromium qu’il a testé à agir de cette manière. À titre de comparaison, Chrome ne déchiffrerait les mots de passe qu’au moment où ils sont nécessaires, par exemple lors d’un remplissage automatique ou quand l’utilisateur les consulte explicitement.
