Edge stocke les mots de passe en clair dans la mémoire, selon Microsoft Edge expose des mots de passe en mémoire, Microsoft le décrit comme design, ce qui pose des questions de sécurité en environnements partagés.
Edge stocke les mots de passe en clair dans la mémoire, et Microsoft confirme que ce comportement est par design. Un chercheur a publié un prototype montrant que le gestionnaire de mots de passe du navigateur peut exposer ces identifiants en mémoire, à condition d’avoir des droits d’administrateur.
Edge stocke les mots de passe en clair dans la mémoire : ce que révèle EdgeSavedPasswordsDumper
Tom Jøran Sønstebyseter Rønning a publié sur X un prototype nommé EdgeSavedPasswordsDumper, démontrant que sous Windows 11 et Edge 147, les mots de passe enregistrés peuvent être lus en mémoire lorsque le terminal est exécuté avec les droits administrateur.
Sans privilèges élevés, l’outil affiche Not running elevated. Le test a été réalisé sur Edge 147 et Windows 11; l’accès nécessite la lecture de la mémoire des processus Edge d’autres utilisateurs.
Une autre constatation: pour voir les mots de passe dans Edge via edge://settings/autofill/passwords, l’utilisateur doit entrer son mot de passe Windows, ce qui bloque par défaut l’extraction, alors que l’outil peut contourner cette étape si l’ordinateur est déjà compromis par des privilèges admin. Ce rapprochement entre le comportement du navigateur et l’outil démontre les limites de sécurité dans des environnements partagés.
- Accès administrateur requis : lecture de la mémoire des processus Edge d’autres utilisateurs
- Affichage des mots de passe : peut être déclenché via l’outil avec droits élevés
- Contexte Edge vs Chrome : Edge montre ce comportement alors que Chrome limite l’exposition
Edge vs Chrome : ce qui change et pourquoi cela compte
Selon le chercheur, Edge est le seul navigateur basé sur Chromium testé avec ce comportement, tandis que Chrome se distingue par une conception qui défragmente les mots de passe en mémoire et ne les déchiffre que lorsque nécessaire. L’extraction massive de données en mémoire est ainsi moins efficace sur Chrome.
Le chercheur précise aussi que les protections de Chrome restreignent l’accès, tout en admettant que cela reste possible dans certaines conditions, ce qui montre que les risques ne disparaissent pas complètement.
Ce que Microsoft dit et ce que cela implique
Microsoft a répondu que ce choix de conception est « par design » et qu’aucun correctif n’est prévu. Un porte-parole souligne que les navigateurs accèdent aux données de mots de passe en mémoire pour faciliter la connexion des utilisateurs et que l’accès nécessiterait déjà qu’un appareil soit compromis. Dans ce contexte, la comparaison avec Chrome est instructive: Chrome offrirait une surface d’attaque plus limitée car l’accès direct à la mémoire n’est pas systématique.
Comme le remarque un internaute sur X, cette affaire rappelle une affaire similaire de 2022 sur Chromium. Il enregistrait en clair des mots de passe et d’autres informations dans la mémoire de l’ordinateur.
De manière générale, la communauté de la cybersécurité recommande davantage l’utilisation d’un gestionnaire de mots de passe dédié plutôt que ceux intégrés dans les navigateurs, car la sécurité prime dans ce domaine.
Pour terminer
En conclusion, l’équilibre entre performance et sécurité guide les choix des navigateurs. Si Edge expose des mots de passe en mémoire, cela souligne l’intérêt d’utiliser un gestionnaire dédié et de rester vigilant sur les droits d’accès en environnement partagé. Il restera intéressant de suivre les évolutions et les recommandations des équipes de sécurité.
