Dashlane se fait forcer : des coffres chiffrés volés lors d'une attaque
charles
Publié le 02 June 2026 · 3 min de lecture
Le gestionnaire de mots de passe Dashlane a confirmé avoir été la cible d'une attaque par force brute le 31 mai 2026. Un acteur externe a visé des comptes d'abonnés personnels dans le but de contourner leur protection par double authentification.
L'incident a conduit au téléchargement des coffres chiffrés appartenant à moins de 20 utilisateurs. Dashlane a précisé que ses propres systèmes internes n'ont pas été touchés.
A lire aussi
- Le Fitbit Air semble simple, mais deux fonctions discrètes changent tout
- iOS 27 cible trois chantiers qui font rêver les utilisateurs d’iPhone
Déroulement de l'attaque
L'attaquant a multiplié les tentatives d'authentification sur plusieurs comptes ciblés. Le volume élevé de requêtes a déclenché automatiquement des suspensions temporaires de comptes et perturbé l'accès de certains utilisateurs légitimes.
Dans un nombre limité de cas, l'attaque a réussi à franchir la protection à deux facteurs. Cela a permis à l'attaquant d'enregistrer de nouveaux appareils sur des comptes existants, puis de télécharger une copie des coffres chiffrés associés.
Le nombre total de comptes ciblés par les tentatives de force brute n'a pas été communiqué par Dashlane. Seul le chiffre des coffres effectivement téléchargés (moins de 20) a été divulgué.
Des données chiffrées, mais pas hors de danger
Les coffres téléchargés restent protégés par le mot de passe maître de chaque utilisateur. Sans ce mot de passe, les données qu'ils contiennent sont inaccessibles dans l'état actuel des choses.
Dashlane souligne toutefois que la situation n'est pas sans risque. Un mot de passe maître court, simple ou courant pourrait être deviné par une attaque ciblée. La solidité du chiffrement dépend directement de la robustesse de ce mot de passe.
Mesures recommandées par Dashlane
La société a contacté directement chacun des utilisateurs concernés par le téléchargement de leur coffre. Elle indique que tout abonné n'ayant pas reçu de notification spécifique n'est pas impacté par cet incident.
À titre préventif, Dashlane recommande à l'ensemble de ses utilisateurs de vérifier la liste des appareils enregistrés sur leur compte et de supprimer ceux qu'ils ne reconnaissent pas. L'activation de la double authentification et l'utilisation d'un mot de passe maître long et unique sont également conseillées.
Un rappel sur la sécurité des gestionnaires de mots de passe
Cet incident intervient dans un contexte où les gestionnaires de mots de passe font régulièrement l'objet d'attaques ciblées. LastPass avait déjà subi une intrusion similaire en 2022, avec des coffres chiffrés exfiltrés par des attaquants.
La conception de ces outils repose sur l'idée que les données chiffrées sont inutilisables sans le mot de passe maître. Cette hypothèse tient si le mot de passe est suffisamment complexe, ce qui n'est pas toujours le cas des utilisateurs concernés.
Source : Thehackernews
