Le 31 mai dernier, un groupe de hackers a réussi à contourner l'authentification à deux facteurs de Dashlane et à accéder aux coffres chiffrés de moins de 20 utilisateurs. Bien que les mots de passe stockés soient protégés par un chiffrement, le risque réel apparaît si la clé maîtresse est faible : les attaquants peuvent tenter de les déchiffrer sans limite de temps. La sécurité de votre gestionnaire dépend presque entièrement de ce seul mot de passe.
Comment fonctionne l'attaque et ce que vous devez vérifier maintenant 🔐
La faille ne réside pas dans le chiffrement des coffres, mais dans l'authentification multifacteur qui a été forcée par des techniques d'ingénierie sociale ou l'exploitation de sessions. Une fois à l'intérieur, les attaquants copient les coffres et peuvent exécuter des attaques par force brute hors ligne contre la clé maîtresse. Dashlane a déjà informé les personnes concernées et recommande de vérifier les appareils autorisés sur le compte. Si votre clé maîtresse est courte ou courante, le temps nécessaire pour la déchiffrer est considérablement réduit.
Chiffrement de luxe, mais avec un cadenas de kiosque 🔑
C'est comme avoir un coffre-fort en titane avec une serrure en plastique : le chiffrement de vos mots de passe est solide, mais si votre clé maîtresse est 123456, les hackers peuvent s'asseoir pour boire un café pendant qu'ils la cassent. Dashlane se vante de sa sécurité, mais au final, tout dépend du fait que vous n'utilisiez pas votre date de naissance ou le nom de votre animal de compagnie. Changez cette clé ou votre gestionnaire devient un joli ornement numérique.