Faille critique : Edge expose vos mots de passe en clair en mode multi-utilisateurs (RDS, Citrix, VDI)

Une vulnérabilité divulguée fin avril 2026 révèle qu’Edge charge l’intégralité du trousseau de mots de passe en mémoire vive dès le lancement, sans attendre qu’un site concerné soit visité. La réponse de Microsoft ? « C’est voulu. »

Synthèse exécutive :

Cet article fait suite à notre analyse sur Chrome et Gemini Nano. Dans les deux cas, on retrouve le même fil directeur : un éditeur de navigateur s’octroie sur des droits le poste de l’utilisateur alors que celui-ci ne les a pas explicitement accordés. La nature du problème est cependant très différente : là où Chrome agit sur le stockage et la consommation de ressources, Edge expose des données d’authentification actives.

Ce que fait Edge

Contrairement à Chrome et aux autres navigateurs basés sur Chromium qui déchiffrent les mots de passe au moment de l’autofill sur un site concerné, Edge charge l’intégralité du trousseau dès le lancement du navigateur. Ces données sont présentes en mémoire vive, en clair, pour toute la durée de la session, même si l’utilisateur ne visite aucun des sites correspondants.
La vulnérabilité a été divulguée publiquement le 29 avril 2026, accompagnée d’une démonstration vidéo montrant qu’un compte administrateur compromis peut extraire les credentials d’autres utilisateurs connectés sur le même terminal, y compris pour des sessions déconnectées.

La réponse qui inquiète : c’est « by design »

Interrogé, Microsoft n’a pas qualifié cela de bug. La réponse officielle est que ce comportement est intentionnel. Deux lectures sont possibles :
1/ soit un choix de performance délibéré pour éviter des opérations de déchiffrement répétées, peut probable puisque c’est au moment d’une interaction utilisateur…
2/ un refus d’ouvrir un CVE et les obligations de correction qui l’accompagnent. Dans les deux cas, la conséquence pratique est identique : aucun correctif n’est prévu.

Ce que cela implique pour les DSI

Sur un poste individuel isolé, l’exposition reste minime, subordonnée à un accès local avec des droits suffisants : le risque est potentiel, réel mais très circonscrit.
Dès que l’on passe à des architectures multi-utilisateurs, la sévérité change de nature : le vecteur d’attaque ne nécessite plus de compromettre le poste de chaque utilisateur individuellement, mais juste le compte admin du serveur, ce qui peut être le fait d’un admin malveillant (insider) ou d’une compromission.

La conclusion opérationnelle est simple : Edge ne doit pas être le gestionnaire de mots de passe par défaut dans un environnement professionnel. La bonne pratique, qui vaut d’ailleurs indépendamment de cette vulnérabilité, est de dissocier la gestion des credentials du navigateur et de la confier à un gestionnaire de mots de passe dédié, déployé et contrôlé par la DSI, avec chiffrement à zéro connaissance côté serveur.

Ce qu’il est possible de faire

Des politiques de groupe permettent de désactiver le gestionnaire de mots de passe intégré d’Edge, de bloquer la synchronisation des credentials vers les comptes Microsoft, d’interdire l’import depuis d’autres navigateurs, et de désactiver Edge Wallet.
Ces mesures doivent s’accompagner d’une purge des mots de passe déjà stockés sur les profils existants, après un délai de préavis aux utilisateurs pour qu’ils exportent leurs données vers le gestionnaire retenu.

Plus d’infos ?

Nous pouvons vous fournir sur simple demande un ensemble complet de GPO et de scripts de nettoyage prêts à déployer ainsi qu’une recommandation sur les critères de sélection d’un gestionnaire de mots de passe externe adapté à votre contexte.

Pour ces infos ou pour prendre rendez-vous avec nos experts pour une consultation de sécurité sans engagement :

Plus d’infos ? Des questions ? Contactez-nous !