Microsoft Edge abandonne son mot de passe maître au profit de Windows Hello

Microsoft a officiellement retiré la fonction de mot de passe maître personnalisé de son gestionnaire de mots de passe intégré à Edge. Les utilisateurs doivent désormais passer par l'authentification de leur appareil — Windows Hello, le mot de passe de session Windows ou Touch ID sur Mac — pour consulter ou remplir automatiquement leurs identifiants.

Un changement préparé depuis plusieurs mois

La firme de Redmond avait annoncé cette évolution sur ses pages de support il y a plusieurs mois. Depuis le 5 mars dernier, les nouveaux utilisateurs ne pouvaient déjà plus activer le mot de passe maître. Les utilisateurs existants, eux, bénéficiaient d'un délai jusqu'au 4 juin, date à laquelle le système a été définitivement désactivé. Microsoft les avait prévenus par des notifications dans le navigateur.

L'authentification par l'appareil s'impose

Désormais, pour déverrouiller les mots de passe enregistrés dans Edge, il faut s'authentifier via la même méthode que celle utilisée pour déverrouiller l'ordinateur. Sur Windows, cela peut être Windows Hello (reconnaissance faciale, empreinte digitale ou code PIN) ou le mot de passe classique du compte. Sur macOS, c'est Touch ID qui fait office de sésame. Cette bascule est automatique pour ceux qui n'avaient pas encore adopté ce mode d'authentification.

Une protection renforcée mais des failles persistantes

Si cette évolution peut simplifier l'expérience utilisateur en évitant de retenir un mot de passe supplémentaire, elle soulève des questions de sécurité. Comme le rappellent des experts, le gestionnaire de mots de passe d'Edge présente une vulnérabilité connue : les identifiants sont chargés en mémoire vive dès l'ouverture du navigateur, ce qui les rend potentiellement accessibles à un logiciel malveillant présent sur la machine. Un chercheur en sécurité avait récemment mis en lumière ce problème, sans que Microsoft n'y ait apporté de correctif à ce jour.

Des alternatives existent, comme des gestionnaires open source qui chiffrent les données de bout en bout et ne les déchiffrent qu'à la demande, même en mémoire. Mais pour l'utilisateur moyen, la disparition du mot de passe maître ne change en rien la procédure quotidienne : il suffit de se connecter à son appareil comme d'habitude.