Dashlane a confirmé le pire pour une poignée de clients. Un attaquant a réussi à télécharger les coffres-forts chiffrés de moins de 20 utilisateurs, après une attaque par force brute lancée le 31 mai contre la double authentification. Les données restent chiffrées, inaccessibles sans le mot de passe maître. Mais l'épisode rappelle brutalement à quel point ce sésame doit être solide.
Une attaque par force brute sur la double authentification
Tout part d'un week-end de la fin mai. Le 31 mai 2026, un acteur externe a lancé une attaque par force brute contre certains comptes Dashlane, avec un objectif très ciblé : contourner la double authentification pour enregistrer ses propres appareils sur des comptes qui ne lui appartenaient pas. La méthode n'a rien de sophistiqué. Un logiciel automatisé balance à la chaîne toutes les combinaisons de chiffres possibles, encore et encore, jusqu'à tomber sur le bon code. Le bruit généré par cette avalanche de tentatives a fini par réveiller les protections maison de l'entreprise, qui ont temporairement suspendu les comptes visés et provoqué au passage des soucis d'authentification chez les utilisateurs concernés.
Moins de 20 coffres-forts téléchargés
Le bilan, lui, reste contenu. Moins de 20 utilisateurs, tous abonnés à une formule personnelle, ont vu leur coffre-fort chiffré aspiré par l'attaquant. Un coffre Dashlane rassemble tout : mots de passe, identifiants, données sensibles que l'on confie au gestionnaire au quotidien. Sauf que ce qui a été téléchargé est chiffré de bout en bout. Et Dashlane fonctionne selon un principe dit zero-knowledge, où le mot de passe maître n'est jamais transmis ni stocké sur ses serveurs, et reste connu de vous seul. Sans lui, le coffre n'est qu'un bloc de données illisibles. L'entreprise insiste par ailleurs sur un point : ses propres systèmes internes n'ont pas été pénétrés, l'attaque s'étant concentrée sur des comptes individuels mal protégés.
Tout repose sur la solidité du mot de passe maître
Reste le maillon faible. Le chiffrement ne vaut jamais plus que le mot de passe qui le verrouille. Dashlane le reconnaît noir sur blanc : un client qui a choisi un mot de passe maître trivial, court, devinable, s'expose réellement à voir son coffre cassé à son tour par force brute. Un mot de passe long et tordu, à l'inverse, rend l'opération si coûteuse qu'elle en devient irréaliste. L'entreprise a contacté une à une les personnes touchées, et le message est clair : si vous n'avez rien reçu de spécifique, votre compte va bien. Pour le reste, les consignes tiennent en quelques gestes. Passez en revue les appareils enregistrés sur votre compte et virez ceux qui vous sont inconnus. Activez la double authentification. Et surtout, blindez ce fameux mot de passe maître. Dashlane affirme enfin avoir pris des mesures pour éviter une rechute, sans dire un mot de leur nature.
On en dit quoi ?
Honnêtement ? Le système a fait exactement ce pour quoi il a été conçu. Des coffres ont fuité, oui, mais le chiffrement a tenu et personne n'a, a priori, récupéré le moindre mot de passe en clair. C'est toute la promesse du zero-knowledge, et ça tranche avec ces fuites massives où des millions d'identifiants se baladent en clair du jour au lendemain. Ce « moins de 20 » a quelque chose de rassurant sur l'échelle. Beaucoup moins quand on se met à la place de celui qui en fait partie, avec un mot de passe maître bricolé à la va-vite en 2015 et jamais changé depuis. Petite question du coup, est-ce que vous utilisez vous même un gestionnaire de mot de passe ? Si oui lequel ? Votre mot de passe maître est solide au moins j'espère ? Envoyez-le nous en commentaire on vous dira s'il est bon (C'EST UNE BLAGUE NE FAITES PAS ÇA)
