Edge stocke vos mots de passe en clair dans la mémoire : la décision « par design » de Microsoft qui inquiète la communauté cybersécurité
Comment Edge expose vos mots de passe en clair
Le site allemand Heise.de a reproduit l'expérience et confirmé le phénomène. Microsoft, contacté, n'a pas nié : ce comportement est intentionnel (« by design »). Une réponse qui a provoqué une vive polémique dans la communauté de la cybersécurité.
🔒 Processus d'exposition
Dès le démarrage d'Edge, le navigateur déchiffre l'intégralité du coffre-fort des mots de passe enregistrés.
Tous les identifiants restent en mémoire vive pendant toute la durée de la session, qu'ils soient utilisés ou non.
Un attaquant disposant déjà d'un accès administrateur peut extraire tous vos mots de passe en clair via un outil simple.
Idée reçue : le chiffrement DPAPI + Windows Hello protège bien les données sur le disque. Mais une fois en mémoire, tout est déchiffré et reste accessible. Heise.de a même montré que les mots de passe restaient lisibles après fermeture et réouverture du navigateur.
Cette vulnérabilité s'ajoute aux nombreuses failles de sécurité web que nous couvrons régulièrement. La différence ici : c'est un choix délibéré de l'éditeur.
La réponse de Microsoft : « C'est une fonctionnalité »
Microsoft assume pleinement ce comportement. Selon l'éditeur, il s'agit d'un choix délibéré pour équilibrer performance, ergonomie et sécurité. L'idée est de permettre une connexion plus rapide sans avoir à déchiffrer à la volée à chaque utilisation.
« Appeler une faille une fonctionnalité est une façon commode d'éviter toute responsabilité. »— David Shipley, Beauceron Security
De nombreux experts rappellent que les navigateurs sont des logiciels généralistes exposés à une surface d'attaque énorme, et que la gestion des mots de passe ne devrait jamais être traitée comme une fonctionnalité secondaire. Une position qui rejoint nos recommandations sur la sécurité des sites internet.
Edge vs Chrome : une différence majeure
Edge et Chrome partagent le même moteur Chromium, mais leur approche diverge complètement :
| Critère | Microsoft Edge | Google Chrome (depuis 2024) |
|---|---|---|
| Chargement des mots de passe | ✗ Tous en clair dès le démarrage | ✓ Déchiffrement à la demande uniquement |
| Protection en mémoire | ✗ Aucune (texte clair) | ✓ App Bound Encryption |
| Risque si malware sur le PC | ✗ Très élevé | ✓ Très réduit |
App Bound Encryption : Chrome a introduit cette protection en 2024 pour lier les clés de chiffrement au processus légitime du navigateur. Edge n'a pas implémenté cette protection, ce qui en fait actuellement le seul grand navigateur Chromium à exposer les mots de passe en clair dans la RAM.
Les risques concrets pour les utilisateurs
Ce n'est pas une vulnérabilité « zero-click » que n'importe quel hacker peut exploiter à distance. Mais elle devient critique dans plusieurs scénarios très fréquents :
⚠ Scénarios à risque
Malware ou infostealer : déjà présent sur l'ordinateur (très courant en entreprise ou sur les PC familiaux).
Machine partagée : bureau, bibliothèque, cybercafé, espace de coworking.
Attaque physique ou administrative : technicien, conjoint curieux, collègue malveillant.
Vol d'ordinateur : un attaquant avec des droits administrateur peut extraire tous vos mots de passe en quelques secondes.
Ces risques rejoignent les préoccupations que nous abordons dans notre article sur les applications espionnes CallPhantom : la sécurité numérique nécessite une vigilance constante.
Pourquoi préférer un gestionnaire dédié ?
Les experts en sécurité sont unanimes depuis longtemps : ne jamais utiliser le gestionnaire de mots de passe intégré à un navigateur. Les raisons sont simples :
Les navigateurs sont des logiciels complexes exposés en permanence à Internet. Leur priorité n'est pas la sécurité maximale des identifiants, mais l'ergonomie. Un outil dédié est conçu exclusivement pour cette tâche, avec un chiffrement de bout en bout et une architecture pensée pour résister aux attaques.
🔐 Gestionnaires recommandés en 2026
Que faire dès aujourd'hui ?
✓ Plan d'action immédiat
Exportez vos mots de passe d'Edge : Paramètres → Profils → Mots de passe → Exporter.
Installez un gestionnaire dédié : Bitwarden est gratuit et open source, excellent choix de départ.
Supprimez tous les mots de passe enregistrés dans Edge.
Désactivez l'enregistrement automatique dans les paramètres d'Edge.
Activez Windows Hello + un mot de passe fort pour protéger l'accès à votre PC.
Même si vous n'êtes pas une cible prioritaire, mieux vaut ne prendre aucun risque avec des identifiants bancaires, professionnels ou médicaux. Pour aller plus loin dans la protection de vos données, consultez notre guide sur le RGPD et la conformité web.
Une décision qui pose question
Microsoft a fait un choix clair : privilégier la commodité et les performances au détriment d'une protection maximale en mémoire. Dans un contexte où les infostealers et les malwares sont de plus en plus sophistiqués, cette décision interroge.
Le navigateur n'est plus seulement un outil pour surfer : il est devenu un coffre-fort pour des millions d'identifiants sensibles. Confier ce rôle à un logiciel généraliste qui laisse les données en clair dans la RAM est une prise de risque que beaucoup d'experts jugent aujourd'hui inacceptable. Pour comprendre les enjeux plus larges de la sécurité numérique, consultez notre analyse sur l'IA et la conformité en 2026.
La solution : Passer à un gestionnaire de mots de passe dédié. C'est plus sûr, plus simple à long terme, et cela vous évite de dépendre des choix discutables d'un éditeur de navigateur.
📋 À retenir
- Edge charge tous les mots de passe en clair dans la RAM dès le démarrage.
- Microsoft confirme : c'est un choix « by design », pas une faille.
- Chrome protège mieux avec App Bound Encryption (depuis 2024).
- Risques : malware, machine partagée, attaque physique ou administrative.
- Solution : migrer vers un gestionnaire dédié (Bitwarden, 1Password, NordPass, Proton Pass).
- Actions : exporter, installer gestionnaire, supprimer mots de passe Edge, désactiver enregistrement auto.
- Chercheur à l'origine : Tom Jøran Sønstebyseter Rønning (Norvège).
- Confirmation : Heise.de (Allemagne, mai 2026).
❓ Questions fréquentes
Est-ce une faille de sécurité ou une fonctionnalité ?
Microsoft assume pleinement : c'est une décision de design intentionnelle. Les experts en sécurité parlent plutôt d'un choix risqué.
Chrome fait-il mieux ?
Oui. Depuis 2024, Chrome utilise l'App Bound Encryption qui empêche le stockage en clair dans la mémoire.
Un simple utilisateur est-il vraiment en danger ?
Le risque est réel uniquement si un malware ou un accès administrateur est déjà présent sur votre PC. Mais c'est précisément le scénario le plus courant.
Faut-il supprimer tous mes mots de passe d'Edge ?
Oui, c'est la recommandation la plus sûre. Exportez-les puis importez-les dans un gestionnaire dédié.
Quel gestionnaire de mots de passe choisir en 2026 ?
Bitwarden (gratuit et open source), 1Password, NordPass ou Proton Pass sont les plus recommandés par les experts.
Microsoft va-t-il corriger cela ?
Pour l'instant, l'éditeur maintient que c'est « par design ». Rien n'indique un changement imminent.
📚 Sources
- Tom Jøran Sønstebyseter Rønning – Chercheur en sécurité (Norvège)
- Heise.de – Tests et confirmation (mai 2026)
- Déclarations officielles Microsoft
- David Shipley, Beauceron Security
Besoin d'un site web sécurisé et bien référencé ?
WY-Créations® accompagne les professionnels depuis 2018 avec +500 sites livrés et +126 avis 5 étoiles.
💬 Demander un devis gratuit