Edge stocke vos mots de passe sans les chiffrer : une faille inquiétante

Le 5 mai dernier, à l'occasion de la Journée mondiale des mots de passe, une révélation a secoué la communauté de la cybersécurité : le navigateur Edge de Microsoft stocke les mots de passe en texte clair dans la mémoire vive de l'ordinateur. Cette découverte, faite par le chercheur norvégien Tom Jøran Sønstebyseter Rønning, soulève des questions cruciales sur la sécurité des données personnelles des utilisateurs.

Un fonctionnement préoccupant

Selon les informations rapportées, à chaque démarrage de Microsoft Edge, le navigateur déchiffre tous les identifiants stockés et les maintient en mémoire, qu'ils soient utilisés ou non durant la session. Cela signifie que même après la fermeture et la réouverture du navigateur, les mots de passe restent accessibles en clair. Le site allemand Heise.de a confirmé ce phénomène, mettant en lumière une pratique qui pourrait exposer des millions d'utilisateurs à des risques de sécurité.

Une réponse controversée de Microsoft

Après avoir été informé de cette situation, Microsoft a déclaré que ce comportement était intentionnel. Cette réponse a suscité de vives réactions dans le milieu de la cybersécurité. David Shipley, directeur général de Beauceron Security, a exprimé son indignation, considérant que qualifier une faille de “fonctionnalité” est une manière d'éviter toute responsabilité. Il souligne que cette logique de commodité prime sur la sécurité, une préoccupation qui n'est pas nouvelle pour les utilisateurs d'Edge.

Comparaison avec Google Chrome

La situation d'Edge est d'autant plus frappante lorsqu'on la compare à celle de Google Chrome, qui utilise un mécanisme appelé “App Bound Encryption”. Ce système chiffre les données du navigateur, empêchant leur stockage ou leur accès en clair dans la mémoire. Bien que cette solution ne soit pas infaillible, elle offre une protection supplémentaire que Microsoft ne semble pas avoir mise en place pour Edge.

La confiance dans les gestionnaires de mots de passe

Cette affaire soulève une question fondamentale : peut-on réellement faire confiance aux gestionnaires de mots de passe intégrés aux navigateurs ? De nombreux experts en sécurité répondent par la négative, soulignant que les navigateurs sont des logiciels généralistes exposés à de nombreuses vulnérabilités. À l'inverse, des gestionnaires de mots de passe dédiés, comme NordPass ou ExpressKeys, sont conçus spécifiquement pour sécuriser les mots de passe avec un chiffrement de bout en bout, offrant ainsi une meilleure protection.

Conclusion

La révélation concernant Edge et le stockage non chiffré des mots de passe est un rappel alarmant de l'importance de la sécurité numérique. Alors que de nombreux utilisateurs confient des informations sensibles à leur navigateur, il est essentiel de rester vigilant et de considérer des solutions de gestion de mots de passe plus sécurisées.