dashlane

L’énigme Dashlane : Quand la sécurité devient une boîte noire (et que le MFA se fait pirater)

Une attaque brute-force sur un gestionnaire de mots de passe ? Le scénario semble classique, mais les détails fournis par Dashlane laissent plus de questions que de réponses.

Baptiste Leterrier

4 min read
Share
L’énigme Dashlane : Quand la sécurité devient une boîte noire (et que le MFA se fait pirater)
Photo by Dewang Gupta / Unsplash

Imaginez la scène : vous confiez vos clés les plus précieuses — vos accès bancaires, vos identifiants professionnels, vos secrets les plus intimes — à un coffre-fort numérique. Vous avez choisi Dashlane pour cette mission de confiance ultime. Puis, un lundi matin, une notification tombe et l'annonce est brutale : des coffres ont été compromis par une attaque "brute-force" sur la double authentification (2FA).

En apparence, le problème est identifié. En réalité, dès qu'on gratte un peu sous la surface technique, on se retrouve face à une énigme qui frise l'absurde stratégique. Bienvenue dans ma chronique du jour : une étude de cas sur ce qui arrive quand la communication produit ne parvient pas à suivre la complexité technique.

Le contexte : Une annonce opaque

Le communiqué de Dashlane est succinct, pour ne pas dire lacunaire. Selon l'entreprise, une partie externe aurait lancé une attaque par force brute contre certains comptes utilisateurs le 31 mai 2026. L'objectif ? Brute-forcer les protections 2FA pour enregistrer de nouveaux appareils sur des comptes existants.

Résultat : 20 coffres chiffrés ont été récupérés.

En tant que CISO, mon premier réflexe n'est pas l'inquiétude pour ces 20 utilisateurs (même si c'est une priorité), mais plutôt une interrogation sur la mécanique de l'attaque. Parce que, techniquement... comment ?

Déconstruire le paradoxe technique

Si vous êtes un habitué, vous allez immédiatement bloquer sur trois points majeurs qui font défaut dans le récit officiel :

1. Le fantôme du premier facteur
Pour déclencher une demande de 2FA (que ce soit par SMS, appli d'authentification ou notification push), l'attaquant doit généralement avoir déjà franchi la première barrière : le mot de passe maître. Or, Dashlane ne mentionne absolument pas comment ce premier facteur a été compromis. Est-ce une fuite de données massive ? Un phishing sophistiqué ? Ou une faille zero-day sur l'authentification initiale ? Le silence est ici beaucoup plus suspect que l'attaque elle-même.

2. La mathématique du brute-force
L'annonce mentionne des codes 2FA valides pendant trois heures. Si on part sur un code à 6 chiffres, nous parlons de 1 000 000 de combinaisons possibles. Pour réussir une attaque par force brute dans cette fenêtre temporelle, il faut envoyer un volume massif de requêtes par seconde.

  • Soit Dashlane n'avait absolument aucun rate-limiting (limitation de débit) sur les tentatives d'authentification.
  • Soit leurs serveurs ont subi un pic de charge colossal sans que le système ne "étouffe" ou ne bloque l'IP source immédiatement.

3. La théorie du "MFA Fatigue" ou du détournement de dispositif
Il est possible que Dashlane utilise des notifications push. Dans ce cas, l'attaquant possède déjà le mot de passe et bombarde la victime de notifications jusqu'à ce qu'elle clique sur "Approuver" par épuisement (le fameux MFA Fatigue attack). Mais là encore, cela valide l'idée que le premier facteur est tombé.
Une autre piste serait l'exploitation des fonctionnalités d'enregistrement de nouveaux appareils : un utilisateur pourrait avoir été trompé pour approuver l'ajout d'un appareil appartenant à l'attaquant. Ou même du credential stuffing (les mots de passe des coffres concernés ont été récupérés de précédentes fuites intégrant les mots de passe).

L'analyse stratégique : La crise de confiance

Au-delà du code et des protocoles, ce qui me frappe ici, c'est la gestion de crise. Une entreprise de sécurité dont le produit repose sur la confiance absolue doit être exemplaire en matière de transparence.

Publier une annonce opaque, rester silencieux pendant plus de 48 heures face aux questions légitimes des clients et ne pas expliquer comment le premier facteur a été contourné est une erreur stratégique majeure. En cybersécurité, l'opacité nourrit la spéculation. Pour un utilisateur, savoir que "les données sont chiffrées" est rassurant, mais comprendre comment on est entré est indispensable pour corriger ses propres habitudes de sécurité.

Et le problème du déchiffrement hors-ligne reste toujours présent (qui logiquement devrait tomber si le mot de passe est déjà connu)

Le Takeaway

Cette affaire nous rappelle deux vérités essentielles :

  1. Le MFA n'est pas une solution magique : si le premier facteur (le mot de passe) tombe, le second devient une simple formalité statistique ou psychologique.
  2. La transparence est une métrique de sécurité : Une entreprise qui ne communique pas clairement sur la racine du problème perd son statut de partenaire de confiance.

Pour l'instant, le verdict reste mitigé. Est-ce que ça valait le coup d'être victime ? Pour ces 20 personnes, non. Pour nous tous les autres, c'est un rappel brutal que même les coffres les plus solides peuvent être vulnérables si la porte d'entrée n'est pas correctement surveillée.

A suivre.

Sources:

Can’t make sense of Dashlane’s vault theft notification? You’re not alone.
Security advisory leaves out key details. Dashlane maintains complete silence.
Ars TechnicaDan Goodin