EdgeSavedPasswordsDumper, c’est le nom d’un outil destiné à mettre en lumière un problème de sécurité avec Microsoft Edge : le navigateur stockerait les mots de passe en clair directement dans la mémoire de son processus. Microsoft le sait.
Les mots de passe exposés en clair dans la mémoire d’Edge
Tom Jøran Sønstebyseter Rønning, chercheur en sécurité, a fait une découverte qui fait grincer des dents. Mais bon, en même temps, quelle idée de stocker ses mots de passe dans son navigateur web, n’est-ce pas ? Il y a tellement mieux à faire avec de vrais gestionnaires de mots de passe.
Revenons à notre histoire. Ce chercheur en sécurité a créé un outil baptisé EdgeSavedPasswordsDumper. Disponible sur GitHub, ce PoC met en évidence la façon dont les identifiants enregistrés via le système de saisie automatique et le gestionnaire de mots de passe de Microsoft Edge sont chargés en clair dans le processus parent du navigateur.
D’après lui, tous les identifiants sont chargés en clair dans la mémoire. Même si vous n’avez pas eu besoin d’utiliser un identifiant spécifique, ce dernier est déjà préchargé en mémoire par Microsoft Edge. Sur la plateforme X, Rønning affirme : “Microsoft Edge charge tous vos mots de passe enregistrés en mémoire en texte clair — même lorsque vous ne les utilisez pas.”
Microsoft Edge étant basé sur Chromium, on peut avoir tendance à penser que les autres navigateurs qui le sont aussi sont concernés. Je pense notamment à Google Chrome, bien entendu, mais aussi à Brave. En réalité, non. Cette vulnérabilité est spécifique à Microsoft Edge et probablement à son lien étroit avec le gestionnaire de mots de passe intégré par Microsoft.
Lorsqu’un navigateur Web est en cours d’exécution, il a tendance à lancer un processus principal et un ensemble de processus enfants, notamment pour les différents onglets. Dans le cas des identifiants, les processus enfants générés par Edge ne contiennent pas les identifiants, c’est le processus parent qui conserve systématiquement ces données sensibles.
Cela signifie qu’une personne malveillante disposant de privilèges suffisants peut extraire ces données à l’aide d’outils natifs. Rønning explique qu’il suffit d’utiliser le simple Gestionnaire des tâches de Windows pour réaliser un dump mémoire et ainsi récupérer des noms d’utilisateur et des mots de passe.
Source : X
Selon les tests effectués par le chercheur, ce problème de sécurité est toujours présent sur la version 147.0.3912.98 d’Edge. À l’heure où ces lignes sont écrites, c’est la version la plus récente puisqu’elle a été publiée le 30 avril 2026.
By design : Microsoft assume !
D’après le chercheur, la firme de Redmond aurait qualifié ce comportement de “by design”. Ce qui suggère deux choses :
Aucun correctif ne sera déployé pour combler cette vulnérabilité,
Microsoft sait que son navigateur web fonctionne de cette façon pour gérer les identifiants.
Pourtant, les données ne sont pas stockées en clair. Sur le disque de votre PC, les identifiants sont chiffrés avec de l’AES et la clé de déchiffrement est protégée avec le composant DPAPI (Data Protection API) de Windows. Mais comme vous l’aurez compris, dès que vous lancez le navigateur Edge, les mots de passe sont clairement exposés : ils sont déchiffrés et mis en mémoire.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.