Mise à jour ajoutée le jeudi 4 juin 2026, signalant la clôture de l'enquête sur l'incident avec confirmation de l'absence d'impact supplémentaire sur les clients ou les systèmes de Dashlane. Des détails sur l'attaque et les protections mises en place ont également été ajoutés. Aller à la mise à jour

Aperçu

À partir du dimanche 31 mai 2026, un tiers externe a lancé une attaque par force brute contre certains comptes d'utilisateurs Dashlane. L'objectif de l'attaque était de forcer par force brute les protections de double authentification (2FA) afin de permettre à l'attaquant d'enregistrer de nouveaux appareils sur des comptes d'utilisateurs existants.

En raison du volume élevé de tentatives sur les comptes d'utilisateurs, les contrôles de sécurité de Dashlane ont automatiquement verrouillé les comptes ciblés par l'attaque.

Les équipes de Dashlane ont immédiatement été alertées et ont commencé à enquêter sur l'incident et à y remédier.

À la suite de l'attaque, de nombreux utilisateurs ont vu leur compte temporairement suspendu. L'accès a désormais été rétabli pour ces comptes.

De plus, les attaquants ont pu télécharger une copie des coffres-forts chiffrés de moins de 20 utilisateurs disposant d'un plan individuel. Nous avons directement notifié chacun de ces utilisateurs. Si vous êtes un utilisateur Dashlane et n'avez pas reçu de message de Dashlane concernant spécifiquement un risque lié au coffre-fort, votre compte Dashlane n'est pas impacté.

Les données du coffre-fort Dashlane ne sont pas accessibles sans le mot de passe Maître, et notre chiffrement du coffre-fort garantit que toute tentative d'accès au coffre-fort a statistiquement très peu de chances de réussir, même sur une longue période.

Rien n'indique que le système interne de Dashlane a été impacté.

Actions entreprises pour protéger les clients

Le trafic provenant des acteurs malveillants a été bloqué. Les comptes d'utilisateurs qui avaient été suspendus ou bloqués ont été réactivés, y compris pour certains clients qui se voyaient empêchés d'ajouter de nouveaux appareils ou de se connecter à leur compte avec la 2FA. Notre équipe a pris des mesures pour atténuer le risque d'incidents futurs et continuer à renforcer notre résilience.

Résumé

Bien que notre enquête se poursuive, nos efforts sont concentrés sur la maîtrise de l'incident et la protection de nos clients.

La sécurité et la confidentialité sont au cœur de Dashlane. Nous mettrons à jour cette page d'information en temps utile.

Par souci d'exactitude, une clarification a été apportée à la description de l'attaque après la publication initiale.

Enquête terminée

Dashlane a terminé son enquête. Aucun impact supplémentaire sur les utilisateurs Dashlane n'a été identifié, et rien n'indique que les systèmes internes de Dashlane ont été impactés. L'enquête étant terminée, nous souhaitons fournir plus de détails sur l'incident ainsi que sur les mesures que nous prenons pour atténuer les risques futurs.

Comprendre l'enregistrement des appareils

L'acteur malveillant a ciblé un flux d'enregistrement d'appareils dans son attaque. Ce flux est utilisé pour ajouter un appareil, tel qu'un téléphone mobile ou un ordinateur, au compte Dashlane d'un utilisateur.

Lorsqu'un utilisateur active un appareil supplémentaire, Dashlane vérifie l'identité du titulaire du compte. Cette vérification est effectuée en envoyant un jeton à usage unique à 6 chiffres à l'adresse e-mail enregistrée de l'utilisateur, ou, pour les utilisateurs ayant activé la 2FA, en validant un code à 6 chiffres généré par leur application d'authentification. L'utilisateur saisit ce code dans l'application Dashlane, après quoi Dashlane enregistre l'appareil et télécharge une copie du coffre-fort chiffré sur l'appareil. Pour plus de détails sur les flux, consultez la documentation de sécurité de Dashlane.

Pour que l'utilisateur puisse accéder aux éléments du coffre-fort chiffré, il doit saisir le mot de passe Maître pour le déchiffrer. Le mot de passe Maître sert de clé de déchiffrement du coffre-fort de l'utilisateur.

Sans le mot de passe Maître, un utilisateur ne peut pas accéder aux éléments contenus dans le coffre-fort. Le chiffrement du coffre-fort (Argon2 + AES-256-CBC + HMAC-SHA256) utilisé par Dashlane garantit que toute tentative d'accès au coffre-fort a statistiquement peu de chances de réussir, même sur une longue période. Dashlane n'enregistre jamais les mots de passe Maîtres ni leurs dérivés sur nos serveurs, conformément à notre architecture « zero-knowledge ».

Résumé de l'attaque

L'auteur de la menace a ciblé les terminaux d'API destinés à l'inscription des appareils et a utilisé une attaque par force brute pour envoyer un grand volume de requêtes automatisées vers ces terminaux.

En réponse, les systèmes de sécurité automatisés de Dashlane ont fonctionné comme prévu, déclenchant un verrouillage automatique des comptes ciblés afin de protéger ces utilisateurs. Avant que l'attaque ne soit entièrement neutralisée, l'auteur de la menace a pu forcer par force brute et générer des jetons valides pour moins de 20 clients disposant d'un plan individuel, lui permettant d'enregistrer un nouvel appareil sur ces comptes et de télécharger des copies des coffres-forts chiffrés des utilisateurs.

Un coffre-fort chiffré doit être déchiffré avant de pouvoir accéder aux éléments qu'il contient. Cette opération est effectuée à l'aide du mot de passe Maître, que seuls les utilisateurs connaissent. Dans le cadre de l'architecture « zero-knowledge » de Dashlane, Dashlane ne stocke pas les mots de passe Maîtres ni leurs dérivés sur les serveurs de Dashlane.

Protections supplémentaires pour les utilisateurs

Dashlane a déployé des protections supplémentaires au niveau du réseau et au sein du produit afin de mieux détecter et filtrer le trafic malveillant.

Des couches supplémentaires de vérification sont également en cours d'ajout au flux d'inscription des nouveaux appareils. Cet avis sera mis à jour au fur et à mesure du déploiement de ces modifications.

Conclusion

La sécurité et la confidentialité sont au cœur de Dashlane. Il est de notre responsabilité de protéger nos utilisateurs contre ces types d'attaques. Nous continuerons d'investir pour renforcer la résilience de Dashlane.

FAQ