Actualités ICC / REV
Edge et la sécurité de tes mots de passe : un défi clair et présent !
Imagine un instant que tous tes mots de passe soient visibles en clair dans la mémoire de ton navigateur
5 mai 2026
Attache ta ceinture car je vais te parler d’un truc qui pourrait sérieusement te faire reconsidérer l’utilisation de Microsoft Edge. Imagine un instant que tous tes mots de passe soient visibles en clair dans la mémoire de ton navigateur… Pas très rassurant, n’est-ce pas ? Eh bien, c’est exactement ce que le chercheur norvégien en cybersécurité Tom Rønning a découvert avec Edge. Et le pire ? Microsoft semble totalement à l’aise avec ça !
Tom Rønning a développé un outil de preuve de concept, ou PoC, appelé EdgeSavedPasswordsDumper. Ce petit bijou d’extraction est capable de récupérer tous tes identifiants en clair directement depuis la mémoire du processus de Edge. Et ce, même si tu as activé l’option “Authentification avant remplissage automatique”. Cette fonction n’affecte que l’interface, et pas la mémoire. En gros, dès que tu ouvres Edge, tous tes mots de passe sont chargés en clair en mémoire, que tu en aies besoin ou non. Et ils y restent tant que le navigateur tourne.
Maintenant, tu te demandes peut-être : “Et si j’utilise un autre navigateur, comme Chrome ?” Bonne question ! Chrome semble charger ses identifiants de manière plus granulaire, ce qui signifie qu’il déchiffre les informations au fur et à mesure des besoins, plutôt que de tout exposer en mémoire dès le démarrage. Alors que Edge, lui, n’a pas évolué et charge toujours tous les identifiants dès le démarrage. C’est cette différence que Tom Rønning souligne avec son outil.
Alors, que faire face à ce problème ? La meilleure parade, c’est de passer à un vrai gestionnaire de mots de passe, comme Bitwarden, KeePassXC, ou Mistikee. Ces outils ne chargent rien en mémoire tant qu’ils restent verrouillés. Donc, même si un attaquant parvient à infiltrer ton compte, il ne pourra pas récupérer tes informations.
Tom Rønning a fait preuve de responsabilité en signalant ce problème à Microsoft. Mais la réponse de l’entreprise a été pour le moins surprenante. Selon eux, le comportement de Edge est “by design”. Autrement dit, c’est intentionnel. Leur documentation explique même que les attaques physiquement locales et les malwares sont hors du modèle de menace et qu’aucun navigateur n’est armé pour résister à un attaquant déjà infiltré dans le compte utilisateur. C’est cohérent, certes, mais cela ignore un fait très ennuyeux : leur implémentation expose une surface d’attaque plus large que leurs concurrents basés sur le MÊME moteur Chromium. C’est pas normal, non ?
Mais il y a de l’espoir ! La communauté a réagi rapidement à cette découverte. Un utilisateur GitHub, Whitecat18, a déjà créé une version Rust du PoC de Tom Rønning. Rust offre encore moins de surface AMSI (Antimalware Scan Interface) que .NET 3.5 et se compile comme un binaire natif sans aucune dépendance. Pour un attaquant, c’est une amélioration significative de la furtivité. Et pour un défenseur, c’est une raison supplémentaire d’encourager les utilisateurs à passer à de vrais gestionnaires de mots de passe.
Il est important de noter que ce problème de sécurité n’est pas aussi effrayant qu’il y paraît. Pour cibler ta propre session Edge, l’attaquant n’a pas besoin d’être administrateur. Un malware opérant sous ton compte y parviendra. Cependant, pour lire la mémoire des AUTRES utilisateurs sur la même machine, il faut des droits administratifs.
Le scénario que Tom Rønning met en avant dans son README est assez spécifique. Il parle d’un serveur terminal où plusieurs utilisateurs seraient connectés simultanément via RDP. Un administrateur compromis pourrait alors récupérer les mots de passe de tous les autres utilisateurs avec leur Edge ouvert, y compris les sessions déconnectées tant que le processus parent tourne. C’est assez spécifique, mais pas impossible évidemment…
Alors, que retenir de tout ça ? Si tu utilises Edge, il est clairement temps de penser à migrer vers un gestionnaire de mots de passe externe. C’est pas la mer à boire et ça te garantira une bien meilleure sécurité. Microsoft persiste dans son approche, mais la sécurité de tes mots de passe, c’est ton problème. Alors, prends les devants et protège-toi !
source : Microsoft Says Edge Password Security Vulnerability Is ‘By Design’—Is It Time To Switch To Chrome?
Imagine un instant que tous tes mots de passe soient visibles en clair dans la mémoire de ton navigateur
La Biobank britannique est une organisation qui détient l’un des ensembles de données biomédicales les plus complets au monde.
Mais voilà, les données de près d’un demi-million de volontaires ont été mises en vente sur Alibaba, le géant chinois du commerce électronique.
La sécurité des systèmes d’intelligence artificielle est mise en péril par une vulnérabilité critique dans le Model Context Protocol (MCP) d’Anthropic
ces mini cerveaux cultivés en laboratoire ont montré une capacité impressionnante à apprendre et à s’adapter pour résoudre un défi d’ingénierie.
Tu te demandes peut-être ce qu’est un modèle d’incorporation multimodal ?
