Microsoft Edge 137 : gestion sécurisée des mots de passe et correctifs critiques

Publié le par Poster un commentaire

Microsoft a déployé la version 137.0.3296.83 de son navigateur Edge dans le canal stable. Au programme : une nouvelle fonctionnalité de gestion des mots de passe à destination des entreprises, plusieurs correctifs de sécurité critiques, et un rappel discret des nombreuses fonctionnalités supprimées lors de la mise à jour précédente.

Derrière cette évolution incrémentale, une ligne stratégique se confirme : orienter Edge vers un navigateur d’entreprise sécurisé, rationalisé, et administrable. Reste à savoir si cette rationalisation ne rogne pas un peu trop sur l’expérience utilisateur.

La nouveauté phare de cette version, c’est l’introduction d’un système de déploiement sécurisé des mots de passe, baptisé Secure Password Deployment. Il s’adresse exclusivement aux administrateurs IT dans des contextes Microsoft 365 Entreprise ou Edge for Business.

Le principe : un administrateur peut désormais partager un mot de passe chiffré avec un groupe d’utilisateurs, sans que ceux-ci aient accès en clair à ce mot de passe. Ces derniers peuvent ainsi se connecter automatiquement à un service Web, sans jamais connaître ni manipuler les identifiants.

Avantages côté sécurité :

  • Évite les saisies manuelles (sources fréquentes de phishing ou de fuites par copie).
  • Centralise la gestion des accès dans un contexte zéro confiance (Zero Trust).
  • Prend en charge les politiques de rotation et de révocation sans intervention utilisateur.

Cela s’inscrit dans une logique de passwordless management, mais en version intermédiaire : les mots de passe existent encore, mais sont traités comme des objets techniques non visibles. C’est à la fois malin et pragmatique, surtout dans les entreprises qui doivent jongler avec des services non compatibles avec les authentifications modernes (OAuth, SSO, etc.).

Deux failles critiques corrigées côté Chromium

La mise à jour 137.0.3296.83 corrige également deux vulnérabilités majeures issues de Chromium, toutes deux classées “High” par les équipes de sécurité de Google :

  • CVE-2025-5958 – Use after free (Media) : une gestion mémoire défaillante permettait à un attaquant de corrompre le tas via une page HTML piégée.
  • CVE-2025-5959 – Type Confusion (V8) : une confusion de type dans le moteur JavaScript pouvait autoriser l’exécution de code arbitraire dans le bac à sable (sandbox).

Ces failles, bien que corrigées rapidement, rappellent la vulnérabilité intrinsèque des moteurs de navigation moderne, en particulier lorsqu’ils traitent des contenus non fiables. Les DSI doivent s’assurer que les postes clients sont automatiquement mis à jour, ou forcer le patch via des outils comme Intune, Configuration Manager ou GPO.

Une cure d’austérité fonctionnelle… assumée

Si la mise à jour 137 semble modeste, elle s’inscrit dans la continuité de la grande purge amorcée en mai 2025 avec la version initiale de Edge 137. À cette occasion, Microsoft a retiré plusieurs fonctionnalités jugées secondaires ou sous-utilisées :

  • Wallet (portefeuille intégré)
  • Éditeur d’images
  • Mini menu contextuel
  • Aperçu d’images au survol (image hover)
  • Super résolution vidéo (VSR)

Cette rationalisation vise manifestement à recentrer Edge sur un usage professionnel et administré, avec moins de distractions ou d’outils “gadget”.

En contrepartie, on note l’arrivée :

  • d’un filtrage de contenu Web dans Edge for Business (fonctionnalité gratuite sur Windows 10/11 Pro et Enterprise),
  • d’améliorations du mode Picture-in-Picture,
  • et d’un Find on Page plus robuste et contextuel.

À quoi s’attendre pour la version 138 ?

La prochaine version d’Edge (138) est prévue dans la semaine du 26 juin 2025, conformément au cycle de publication de 4 semaines de Microsoft. Aucun changement radical n’est attendu, mais la tendance à l’optimisation du socle sécurité/productivité devrait se poursuivre, avec probablement de nouvelles capacités de pilotage côté IT.

Les administrateurs doivent donc anticiper dès aujourd’hui les implications de Secure Password Deployment :

  • Qui peut créer et gérer les mots de passe partagés ?
  • Comment intégrer cette capacité à l’existant (gestion des identités, annuaire, SSO) ?
  • Quels scénarios métiers nécessitent une telle délégation sécurisée ?

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.