Après avoir bloqué plusieurs comptes par mesure de sécurité, Dashlane livre les conclusions de son enquête. Des pirates ont pu enregistrer de nouveaux appareils sur des comptes personnels et récupérer les coffres-forts chiffrés associés.
En début de semaine, Dashlane avait confirmé une attaque par force brute visant des comptes utilisateurs, lancée le dimanche 31 mai 2026. L’éditeur expliquait alors avoir bloqué automatiquement les comptes ciblés par un volume important de tentatives, avant de rétablir les accès concernés. L’enquête est désormais terminée, et Dashlane dresse un bilan plus précis de l’incident. L’attaque visait le processus d’ajout de nouveaux appareils à des comptes existants, ce qui a permis à des pirates d’enregistrer des terminaux frauduleux sur une petite vingtaine de comptes personnels et de télécharger les coffres-forts chiffrés associés.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un flux d’ajout d’appareil détourné à grande échelle
D’après la mise à jour de son avis de sécurité, Dashlane a finalement été visé non pas par une attaque directe contre les mots de passe maîtres, mais par une offensive contre le flux d’enregistrement de nouveaux appareils. Ce processus permet d’associer un téléphone, un ordinateur ou une tablette supplémentaire à un compte déjà existant, afin d’y retrouver son coffre-fort.
Pour autoriser cette association, Dashlane vérifie l’identité du titulaire du compte. Le service envoie un code unique à six chiffres à l’adresse mail enregistrée, ou demande celui généré par l’application d’authentification lorsque la double authentification est activée. Une fois la vérification validée dans l’application, l’appareil est ajouté au compte et une version chiffrée du coffre-fort y est synchronisée.
Les pirates ont donc concentré leurs efforts sur les API utilisées par Dashlane lors de l’ajout d’un appareil. En temps normal, ces interfaces techniques reçoivent le code transmis, le vérifient, puis délivrent un jeton d’enregistrement lorsque l’opération est approuvée. Ici, elles ont été bombardées de requêtes automatisées, alimentées par des suites à six chiffres générées au hasard.
Sur un seul compte, la méthode avait peu de chances d’aboutir, puisqu’un tel code offre un million de possibilités. En répartissant les tentatives sur un grand nombre de cibles, les pirates augmentaient en revanche leurs chances d’obtenir quelques codes valides. L’attaque a ainsi permis de générer des jetons d’enregistrement pour moins de 20 comptes personnels, puis de télécharger une version chiffrée des coffres-forts associés.
Un risque limité, mais à surveiller côté mot de passe maître
Avant de paniquer, il faut savoir qu’un coffre-fort chiffré téléchargé ne donne pas accès aux mots de passe en clair. Pour lire les identifiants, notes sécurisées et autres données enregistrées, les pirates doivent encore disposer du mot de passe maître du compte concerné. Or celui-ci n’est pas conservé sur les serveurs de Dashlane, ni sous forme dérivée, conformément à son architecture à connaissance nulle. Les coffres récupérés restent donc verrouillés tant que ce mot de passe n’a pas été compromis.
La protection repose aussi sur un ensemble cryptographique conçu pour ralentir les attaques hors ligne. Argon2 rend les tentatives de devinette du mot de passe maître beaucoup plus coûteuses, AES-256-CBC chiffre les données, et HMAC-SHA256 permet d’en contrôler l’intégrité. Le risque dépend donc surtout de la solidité du mot de passe maître. Une phrase de passe longue, unique et difficile à deviner réduit fortement les chances d’exploitation, quand un mot de passe court, réutilisé ou construit à partir d’informations personnelles expose davantage le compte.
Pour la très grande majorité des utilisateurs et utilisatrices, aucun changement massif d’identifiants n’est nécessaire si aucune notification spécifique n’a été reçue. Les bons réflexes consistent plutôt à vérifier les appareils associés au compte, supprimer ceux qui ne sont pas reconnus et activer la double authentification si ce n’est pas déjà fait.
Le mot de passe maître doit en revanche être remplacé s’il est faible, trop proche d’un ancien mot de passe ou susceptible d’avoir été saisi sur une page de phishing. Dans ce cas, il faut aussi vérifier en priorité les comptes les plus sensibles stockés dans le coffre, à commencer par l’adresse mail liée à Dashlane.
