Fait remarquable : Microsoft ne semble pas considérer ce comportement comme un bug, mais comme un choix de conception délibéré. Cette découverte est le fruit des travaux du chercheur Tom Jøran Sønstebyseter Rønning, qui a partagé ses conclusions ainsi qu’un outil de validation de principe. Cet outil, baptisé « EdgeSavedPasswordsDumper », montre à quel point il peut être facile d’extraire les identifiants enregistrés de la mémoire d’Edge.
Concrètement, il s’avère qu’au démarrage, Edge décrypte les noms d’utilisateur et les mots de passe et les stocke temporairement dans la mémoire vive (RAM). Ces données sont stockées sous une forme lisible, c’est-à-dire sans cryptage supplémentaire. Quiconque a accès à cette mémoire, par exemple via ce qu’on appelle un « memory dump », peut en théorie simplement lire ces données.
Ce n’est pas un piratage direct, mais cela présente un risque
Important : il ne s’agit pas d’une faille pouvant être exploitée à distance. Un pirate doit déjà avoir accès à votre système et, dans la pratique, disposer même de droits élevés pour pouvoir lire ces informations en mémoire. Cela ne rend toutefois pas le problème anodin. Cela peut constituer un risque, en particulier dans les environnements multi-utilisateurs ou sur des appareils partagés. Si une personne disposant de droits d’administrateur accède au système, elle pourrait également consulter les mots de passe enregistrés des autres utilisateurs. Cela rend Edge plus vulnérable aux attaques dans lesquelles un système est déjà partiellement compromis.
Selon le chercheur, les autres navigateurs basés sur Chromium se comportent différemment. Google Chrome et Brave ne déchiffreraient les mots de passe qu’en cas de besoin, au lieu de les conserver en permanence en mémoire. Cela réduit la durée pendant laquelle les données sensibles sont visibles et rend plus difficile leur extraction de la mémoire. Cela ne signifie pas que ces navigateurs soient parfaits, mais sur ce point, ils semblent adopter une approche plus prudente qu’Edge.
Microsoft : « C’est voulu »
Ce qui est peut-être le plus surprenant, c’est la réaction de Microsoft. Lorsque le chercheur a fait part de ses conclusions, l’entreprise aurait indiqué que ce comportement était « voulu ». Aucune explication détaillée n’a été fournie pour l’instant, mais cela suggère que Microsoft a délibérément choisi cette approche, peut-être pour optimiser les performances ou la facilité d’utilisation. Cela n’empêche pas les experts en sécurité de s’interroger sur ce choix, d’autant plus que des données sensibles restent inutilement longtemps en mémoire.
Pour la plupart des utilisateurs, il n’y a pas lieu de paniquer, mais quelques règles de base restent importantes. Dans la mesure du possible, utilisez un gestionnaire de mots de passe dédié plutôt que la fonctionnalité de stockage intégrée au navigateur. Veillez également à ce que votre PC soit bien sécurisé et à ce que personne d’autre n’ait accès à votre compte, surtout avec des droits d’administrateur. Car comme le montre une fois de plus ce cas : dès que quelqu’un parvient à s’introduire dans votre système, il devient soudainement beaucoup plus facile d’intercepter vos données les plus sensibles.
