Si vous utilisez le gestionnaire de mots de passe intégré de Microsoft Edge, vos informations d’identification sont probablement moins protégées que vous ne le pensez. Un chercheur norvégien en sécurité vient de montrer qu’Edge décrypte tous les mots de passe enregistrés lorsque vous démarrez le navigateur et les conserve en texte clair dans la RAM, même pour les sites que vous ne visitez pas. Microsoft, informé avant la publication, a répondu que ce comportement était intentionnel. Voici ce que vous devez savoir.
Un gestionnaire de mots de passe qui joue franc-jeu… en mémoire
Lorsque vous enregistrez un mot de passe dans Edge, le navigateur le crypte sur le disque via AES, avec la clé gérée par Windows via DPAPI. Jusqu’à présent, rien d’anormal. Le problème est ailleurs.
Dès que le navigateur s’ouvre, Edge déchiffre tous les identifiants enregistrés et les charge en texte brut dans la mémoire du processus principal msedge.exe. Pas seulement les mots de passe des sites que vous visitez ce jour-là, mais tous vos identifiants, en même temps, dès le début.
Ce comportement est d’autant plus surprenant qu’Edge vous demande de vous authentifier pour visualiser vos mots de passe dans l’interface du gestionnaire. Cette protection n’est donc qu’une façade : les identifiants sont déjà présents en clair dans la RAM bien avant que vous ayez tapé le moindre code PIN.
Chrome fait les choses différemment
Edge est basé sur Chromium, tout comme Google Chrome. Toutefois, les deux navigateurs ne gèrent pas cela de la même manière. Chrome ne décrypte un identifiant qu’au moment précis où il en a besoin, c’est-à-dire lors de la saisie automatique ou lorsque l’utilisateur consulte explicitement un mot de passe. Entre les deux, les identifiants restent cryptés.
Depuis 2024, Chrome inclut également un mécanisme supplémentaire appelé App-Bound Encryption (ABE), qui relie le décryptage au processus Chrome authentifié. Concrètement, même si un autre processus parvient à mettre la main sur la clé de chiffrement, il ne pourra pas l’utiliser pour décrypter des mots de passe en dehors de Chrome.
Le chercheur à l’origine de la découverte précise avoir testé plusieurs navigateurs basés sur Chromium : Edge est le seul à se comporter ainsi.
Une démonstration en quelques secondes
Pour illustrer le problème, le chercheur norvégien Tom Jøran Sønstebyseter Rønning a publié un outil de démonstration sur GitHub.
Lancé depuis un compte administrateur, l’outil analyse automatiquement tous les processus msedge.exe en cours d’exécution sur la machine et affiche en texte clair les identifiants trouvés en mémoire, quel que soit l’utilisateur auquel ils appartiennent.
C’est dans les environnements partagés que le scénario devient vraiment préoccupant. Sur un serveur de terminaux Windows par exemple, plusieurs sessions utilisateurs peuvent coexister en même temps. Si un attaquant obtient un accès administrateur, il peut parcourir la mémoire des processus Edge et récupérer les mots de passe de tous les utilisateurs connectés. Même ceux dont la session est inactive.
Dans la vidéo publiée par le chercheur, l’opération ne prend que quelques secondes.
La réponse de Microsoft
Avant de rendre l’information publique, le chercheur a évidemment suivi une procédure de divulgation responsable et a contacté Microsoft. Et la réponse de l’éditeur est pour le moins surprenante : le comportement est « by design », autrement dit voulu et assumé. Microsoft ne prévoit donc aucun correctif.
Là documentation officielle de Edge va dans le même sens. Microsoft indique que les attaques locales échappent au modèle de menace du navigateur, et qu’il appartient à Windows Defender de gérer ce type de scénario. L’éditeur reconnaît tout de même que si un attaquant accède à la session d’un utilisateur, il peut récupérer tous ses mots de passe enregistrés.
En revanche, ce que la documentation ne mentionne pas, c’est le cas précis évoqué par le chercheur : un administrateur qui lit la mémoire des processus d’autres utilisateurs sur une machine partagée. Un scénario que le décryptage systématique au démarrage rend particulièrement facile à exploiter.
La solution la plus simple consiste à ne pas utiliser le gestionnaire de mots de passe d’Edge.
Utilisez plutôt un gestionnaire de mots de passe dédié comme Bitwarden ou KeePassXC. Ces outils ne piratent les mots de passe qu’à la demande et nécessitent un mot de passe principal pour déverrouiller le coffre-fort, ce qui réduit considérablement la surface mémoire.
Pour les entreprises, il est recommandé de désactiver le gestionnaire intégré via les politiques de groupe, et d’imposer une solution dédiée avec des règles strictes.
Activer la double authentification (2FA) sur les comptes importants reste également une bonne pratique pour limiter les dégâts en cas de fuite.
Si vous souhaitez continuer à utiliser Edge, évitez de le laisser ouvert tout le temps. La fermeture du navigateur lorsqu’il n’est pas utilisé réduit la durée pendant laquelle vos mots de passe restent en mémoire.
Ce n’est pas une solution parfaite, mais c’est quand même mieux que rien.
