Comme le rapporte Frandroid, le gestionnaire de mots de passe Dashlane a subi une cyberattaque ayant permis à des pirates d’accéder à des coffres de mots de passe chiffrés, et ce pour moins de 20 utilisateurs. L’entreprise confirme que l’incident s’est produit malgré l’activation de la double authentification, un dispositif pourtant considéré comme une protection renforcée.
Ce qu'il faut retenir
- Moins de 20 utilisateurs concernés par le piratage de leurs coffres chiffrés, selon Dashlane.
- La double authentification a été contournée par les attaquants, bien qu’elle soit activée sur les comptes compromis.
- Les mots de passe maîtres restent protégés par chiffrement, mais leur robustesse détermine leur niveau de sécurité.
- Cet incident rappelle le piratage de LastPass en 2022, où des coffres avaient également été compromis.
Une faille exploitant l’authentification renforcée
Dashlane a reconnu dans un communiqué que des pirates sont parvenus à contourner son système de double authentification pour accéder à des coffres numériques. Si l’entreprise se veut rassurante en affirmant que les mots de passe stockés restent chiffrés et donc illisibles, la sécurité des comptes dépend désormais de la complexité du mot de passe maître choisi par les utilisateurs. Autant dire que la robustesse de ce dernier devient un enjeu crucial.
Les attaquants ont ciblé des comptes spécifiques, probablement ceux dont la protection secondaire présentait une faille exploitable. Dashlane n’a pas précisé la méthode exacte utilisée pour contourner la double authentification, mais ce type d’attaque rappelle les techniques de phishing avancées ou l’exploitation de vulnérabilités logicielles.
Un scénario similaire à celui de LastPass, une ombre au tableau
Comme le souligne Frandroid, ce piratage rappelle étrangement l’affaire LastPass de 2022, où des coffres de mots de passe chiffrés avaient également été compromis. À l’époque, l’entreprise avait attribué l’incident à une faille dans son infrastructure cloud, permettant aux attaquants de s’introduire dans ses serveurs. Dashlane, de son côté, n’a pas évoqué de faille structurelle, mais plutôt un contournement ciblé de ses protections.
Cette récurrence interroge sur la vulnérabilité des gestionnaires de mots de passe, pourtant conçus pour sécuriser les données des utilisateurs. Elle rappelle aussi l’importance de choisir un mot de passe maître long et complexe, ainsi que d’activer tous les niveaux de protection disponibles.
Quelles conséquences pour les utilisateurs concernés ?
Dashlane a indiqué que seuls moins de 20 utilisateurs ont été touchés par cet incident. Pour ces derniers, le principal risque réside dans la possibilité que leur mot de passe maître soit deviné ou forcé, si celui-ci est peu complexe. Dans ce cas, les pirates pourraient accéder à l’intégralité de leur coffre numérique, bien que les données restent chiffrées.
L’entreprise a commencé à notifier les utilisateurs concernés et recommande de renforcer immédiatement leur mot de passe maître. Elle a également rappelé que, dans l’immense majorité des cas, les coffres restent sécurisés grâce au chiffrement. — Pour autant, cet épisode rappelle que aucun système n’est infaillible.
L’incident soulève également des interrogations sur la résilience des solutions de gestion de mots de passe face aux cybermenaces toujours plus sophistiquées. D’ici la fin du mois, Dashlane devrait communiquer sur les améliorations apportées à ses protocoles de sécurité, tandis que les utilisateurs devront redoubler de vigilance.
Dashlane a commencé à notifier les utilisateurs concernés directement via leur messagerie enregistrée. Si vous n’avez pas reçu de notification et que vous utilisez le service, votre compte n’a probablement pas été touché. En cas de doute, consultez la section « Sécurité » de votre tableau de bord ou contactez le support technique.
