Dashlane a clos son enquête sur l'attaque par force brute qui a visé ses services à partir du 31 mai 2026. L'entreprise confirme que des pirates ont réussi à enregistrer de nouveaux appareils sur une vingtaine de comptes personnels et à télécharger les coffres-forts chiffrés associés. Ces derniers contiennent les identifiants et données sensibles des utilisateurs, mais restent protégés par un chiffrement que l'éditeur affirme robuste.
Un mode opératoire ciblant le flux d'enregistrement
L'attaque ne visait pas directement les mots de passe maîtres des utilisateurs. Les assaillants ont concentré leurs efforts sur les interfaces de programmation (API) utilisées lors de l'ajout d'un nouvel appareil à un compte existant. En temps normal, ce processus requiert une vérification d'identité : Dashlane envoie un code à six chiffres par courriel, ou bien l'utilisateur génère un code via son application d'authentification si la double authentification est activée. Une fois ce code saisi dans l'application, l'appareil est autorisé et une copie chiffrée du coffre-fort est synchronisée.
Les pirates ont automatisé des requêtes massives vers ces API, bombardant le système avec des suites à six chiffres générées aléatoirement. La probabilité de deviner le bon code pour un compte donné est très faible (une chance sur un million). En revanche, en ciblant un grand nombre de comptes simultanément, les attaquants ont multiplié leurs chances d'obtenir quelques validations. Cette technique leur a permis d'enregistrer des terminaux frauduleux sur une petite vingtaine de comptes personnels et de télécharger les coffres chiffrés correspondants.
Des comptes bloqués par précaution
Dès la détection d'un volume anormal de tentatives de connexion, Dashlane avait suspendu automatiquement les comptes ciblés. L'entreprise avait ensuite rétabli les accès tout en poursuivant son investigation. Les conclusions livrées ce 5 juin précisent qu'aucun compte professionnel n'a été compromis, et que l'incident se limite à un nombre très restreint d'utilisateurs personnels.
L'éditeur insiste sur le fait que les coffres-forts dérobés sont chiffrés et que, sans le mot de passe maître de chaque utilisateur, leur contenu reste inaccessible. Il recommande néanmoins à tous les utilisateurs concernés — qui ont été notifiés directement — de modifier leur mot de passe maître et de vérifier les appareils associés à leur compte. Par ailleurs, Dashlane indique avoir renforcé les mécanismes de détection des tentatives de force brute sur le flux d'ajout d'appareil.
Des leçons pour la gestion des accès
Cet incident illustre la vulnérabilité des processus d'enregistrement d'appareils lorsqu'ils sont exposés à des attaques automatisées à grande échelle. Bien que le nombre de comptes touchés soit faible, la méthode employée — le bourrage de codes à usage unique — montre que les API de vérification doivent intégrer des limites strictes de tentatives et une surveillance en temps réel. Dashlane assure avoir mis en place des correctifs pour prévenir ce type d'offensive à l'avenir.
L'affaire rappelle également l'importance, pour les utilisateurs, d'activer la double authentification lorsque celle-ci est disponible. Dans le cas présent, les comptes dotés de cette protection étaient moins vulnérables, car le code à usage unique est alors généré par une application physique et non transmis par courriel, ce qui complexifie encore le travail des attaquants. Dashlane continue d'encourager ses clients à activer cette couche de sécurité supplémentaire.
