S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Dashlane : la fuite des coffres-forts rappelle l’importance du mot de passe maître

C’est bon, j’ai mis Password123!

Dashlane : la fuite des coffres-forts rappelle l’importance du mot de passe maître

Illustration : Flock

Les gestionnaires de mots de passe permettent d’utiliser des mots de passe différents et complexes pour tous les services. Ils doivent eux aussi être protégés par un mot de passe maître, qui est parfois le dernier rempart contre les pirates. Une fuite de données chez Dashlane l’illustre parfaitement.

Après LastPass fin 2022, c’est au tour de Dashlane d’être victime d’une fuite de données : « Les attaquants ont pu télécharger une copie des coffres-forts chiffrés de moins de 20 utilisateurs sur un forfait personnel », reconnait l’entreprise.

Des coffres-forts chiffrés dans la nature

« À partir du dimanche 31 mai 2026, un pirate a lancé une attaque par force brute contre certains comptes d’utilisateurs de Dashlane », explique l’entreprise. L’attaquant essayait de casser l’authentification à deux facteurs afin d’enregistrer de nouveaux appareils sur des comptes d’utilisateurs, pour ensuite accéder aux données.

Bien évidemment, des protections ont permis de limiter l’attaque – mais pas de la bloquer totalement : « En raison du nombre élevé de tentatives d’accès aux comptes utilisateurs, les contrôles de sécurité de Dashlane ont automatiquement verrouillé les comptes ciblés par l’attaque », explique Dashlane.

Des comptes ont été suspendus de manière temporaire, mais surtout pour une vingtaine de clients le coffre-fort a été dérobé. Ils ont tous été déjà contactés individuellement par Dashlane.

Quels sont les risques ?

Avec les coffres-forts chiffrés, le ou les pirates ne peuvent pas faire grand-chose, sauf à réussir à les ouvrir évidemment. Ils accéderaient alors à l’intégralité des informations qu’ils contiennent : mots de passe, identifiants… une vraie caverne d’Alibaba.

Pour arriver à leurs fins, ils peuvent tenter de faire du phishing afin que vous « donniez » involontairement votre mot de passe maître, mais aussi tenter de passer en force.

Brutale, cette méthode consiste à tester toutes les combinaisons possibles jusqu’à trouver la bonne. En théorie, cela finit toujours par fonctionner. En pratique, il faut un temps quasi infini selon la taille et la complexité de votre mot de passe. On parle aussi d’entropie.

Autant dire que si votre mot de passe est « password123 », il ne tiendra même pas quelques secondes. Avec une copie de votre coffre-fort en sa possession, un pirate peut effectuer autant de tentatives qu’il le souhaite jusqu’à réussir à trouver le bon mot de passe et ainsi percer les protections.

Des années plus tard, la fuite Lastpass fait toujours des victimes

La fuite de Lastpass fin 2022 en est un parfait exemple. Cette fuite avait encore des conséquences en 2025, comme le rapporte BleepingComputer : « Plutôt que le portefeuille [de cryptomonnaie, qui est aussi parfois stocké dans les coffres-forts, ndlr] soit vidé immédiatement après une brèche, les vols se sont multipliés par vagues des mois ou des années plus tard, illustrant comment les attaquants décryptaient progressivement les coffres ».

Une autre manière de le dire : si votre coffre-fort est dans la nature, il est plus que recommandé de changer l’intégralité des secrets et mots de passe qui y sont enregistrés. Un pirate pourrait en forcer la porte maintenant comme dans quelques années quand la puissance de calcul coutera bien moins chère, par exemple.

Votre mot de passe maître doit être fort et robuste !

Dashlane reconnait ne pas avoir « d’exigences spécifiques pour les mots de passe maîtres », mais précise néanmoins s’appuyer sur « l’algorithme zxcvbn [de Daniel Lowe Wheeler chez Dropbox, ndlr] afin d’évaluer la sécurité de votre mot de passe lors de sa création ». L’entreprise prodigue aussi quelques conseils. Next a aussi des dossiers sur le sujet.

Les clients de Dashlane sont les victimes, mais cette affaire rappelle l’importance du mot de passe maître qui sera le dernier rempart en cas de fuite de données. C’est valable quel que soit le gestionnaire utilisé, y compris (et surtout) en autohébergé. Si vous autohébergez un gestionnaire, ne sous-estimez surtout pas le mot de passe maitre.

Commentaires (34)

votre avatar
Ahh c'est peut-être pour ca le mail de dimanche de leur part.
Votre compte a été temporairement suspendu pour des raisons de sécurité. Quelqu’un a tenté d’associer un nouvel appareil à votre compte et a saisi un code de sécurité incorrect à plusieurs reprises. Contactez le support de Dashlane en envoyant un mail à support@dashlane.com pour réactiver votre compte.
Le lendemain matin, il était à nouveau dispo sans que je ne fasse aucune démarche.
Vu mon MDP + MFA, je ne me suis pas plus inquiété que ca.
votre avatar
Je l'es reçu aussi et j'ai contacté le support pour en savoir plus, sachant que je n'est pas eu le temps d'être impacté par la suspension (elle devais être tout au plus de une heure). J'ai reçu une réponse le lendemain (Lundi).

XXXX (Dashlane Customer Support)1 juin 2026, 2:36 AM UTC+2Hello,Thank you for reaching out to us! It's XXXX from Dashlane Customer Support. I am very sorry for any inconvenience this issue has caused.We can confirm that certain Dashlane user accounts were targeted in a brute force attack by an external party, resulting in the suspension of those accounts as part of Dashlane’s built-in security measures. The affected accounts have now been unsuspended.Our team is actively engaged in this issue and taking measures to address it. There is no evidence of compromise of Dashlane’s systems.Thank you for your patience and understanding. You can monitor the Dashlane Status Dashlane Status page for live updates as well. Best regards,XXXXDashlane Customer Support
votre avatar
Effectivement j'ai eu le même mail
votre avatar
Je ne connaissais pas l'algo zxcvbn. Ca a l'air plus sympa que d'imposer une série de règles statiques. :)
votre avatar
Pas tant : "it recognizes and weighs 30k common passwords, common names and surnames according to US census data, popular English words from Wikipedia and US television and movies"
Il conviendrait donc de l'adapter et de le mettre à jour (le projet a 10 ans).
votre avatar
Grâce à un NEXTien j'ai découvert heylogin, et même si le fonctionnement global est perfectible, ça me semble la solution la plus sécurisée : une demande d'approbation via une appli mobile qu'on ne peut installer que sur un seul téléphone. Aucun mot de passe, le top.
votre avatar
Boite privée, pas de code source disponible, très peu pour moi…
votre avatar
Et si ton téléphone rend l'âme, que tu le perds ou qu'on te le pique, tu es vu...
votre avatar
Tu peux toujours récupérer ton compte avec les codes de secours. 🤷🏻‍♂️
Et sinon tu peux aussi accéder à ton compte sur PC, en ayant préalablement configuré un accès via Windows Hello ou une clé FIDO.
votre avatar
Je préfère simplement tester les MDP sur HIBP (Have I Been Pwned). Si c'est dedans, alors c'est pas sécurisé. Si c'est pas dedans, alors c'est sécurisé jusqu'à ce que ça y soit. A contrôler à chaque connexion.
votre avatar
Tester tes mots de passes sur un site tiers, tu es sûr que c'est une bonne idée ?
votre avatar
Renseignes-toi sur ce que c'est : HIBP est une base de données recensant tous les mots de passe fuités (seulement les mots de passe, pas les noms d'utilisateur associés), et ils sont stockés sous forme de hash, donc pour rechercher, tu ne fournis pas le mot de passe, ni même le hash complet, mais seulement quelques premiers caractères, retournant ainsi une liste de hashs ayant le même commencement, et si le tien est dans la liste, le mot de passe est fuité
votre avatar
Les premiers caractères du hash, c'est ça ?

Ok, le hashage est en local ?
votre avatar
Ben oui, puisque tout ce que tu peux rechercher c'est un hash.
votre avatar
1password a une autre stratégie: le chiffrement des coffres s'appuie sur 2 choses: le mot de passe de l'utilisateur et une clé aléatoire de 128 octets (octets, pas bits). ça rend l'attaque par force brute infaisable y compris si le mot de passe est fragile.

[modif: je suis un gros nul. C'est 128 bits la clé privée. cf https://support.1password.com/secret-key-security/]
La clé aléatoire est créée côté client et non connue de 1password.
votre avatar
Et à partir de ça, ils doivent dériver une clé de 256 bits : "256-bit AES encryption. Your 1Password data is kept safe by AES-GCM-256 authenticated encryption. The data you entrust to 1Password is effectively impossible to decrypt."
256 bits symétrique c'est pas mal hein, mais "un poil" (attention exponentielle) moins bien que les 1024 buts d'une possible clé de 128 octets ;)
votre avatar
Question naïve, quand on sait que des solutions comme Keepass permettent de stocker le coffre-fort sur son PC, quel est l'intérêt de prendre le risque de confier son coffre-fort à une société qui est susceptible d'être victime d'une fuite de données ?
votre avatar
La synchronisation sur plusieurs PC, + tablette + smartphone...
votre avatar
J'utilise KeeWeb, qui est un client web (donc multiplateforme) pour KeePass, que j'ai configuré en WebDAV pour synchroniser sur mon propre serveur. Sinon ça supporte également Google Drive et Microsoft OneDrive. Mon KDBX est techniquement en libre accès, mais le mot de passe maître étant extrêmement solide, ça ne pose pas de problème.
votre avatar
On peut avoir plusieurs machines, une au travail, une à la maison, et sans oublier le mobile. Ces plateformes permettent de tout avoir sous la main, synchronisé et "sécurisé" (des fois ...) :stress:
votre avatar
J'utilise KeepassXC et c'est possible de synchroniser avec une autre base.
Il faut le faire manuellement, mais ça marche bien.
votre avatar
J'utilise Keepass sur PC (au boulot et à la maison) avec une base stockée sur ProtonDrive et ça fonctionne bien (avec le add-on Keepass qui va bien). Par contre, sur mon tél j'ai KeepassDX et là, je suis obliger de stocker localement la base en la mettant manuellement à jour de temps en temps
votre avatar
Pourquoi t'installes pas ProtonDrive sur ton téléphone ?
votre avatar
Je l'ai mais KeepassDX n'a pas la possibilité d'atteindre ProtonDrive et ses fichiers chiffrés. Je n'ai pas vu dans l'appli ProtonDrive la possibilité de synchroniser un dossier du tél.
votre avatar
Ah oui en effet. J'avais pas remarqué.
votre avatar
Déjà, ton PC est tout aussi susceptible d'être une victime de fuite/vole/piratage, que Dashlane ou autre gestionnaire. C'est comme si tu demandes pourquoi mettre sont argent à la banque alors qu'on peu le mettre sous son lit.

Personnelement, Dashlane, je l'utilise en mobile et desktop. Et je sais en tant qu'Admin, que je peux y accéder depuis n'importe quelle machine en cas de pépin. Je n'ai pas à me soucier des synchros, du serveur ou le poste ou se trouve la base, c'est toujours accessible.

Ce n'est pas parce que certains coffres ont été déverrouillés a cause de la bêtise de leur propriétaire d'avoir mis un mot de passe faible comme mot de passe maitre, que Dashlane n'est pas fiable.
votre avatar
L'érgonomie.

J'ai keepass au bureau de façon obligatoire, alors soit j'ai pas les bon plugin sur firefox, mais globalement c'est assez rustique.
pour le coup ça apporte sûrement une sécurité, mais pas du tout un confort d'utilisation.

C'est sur ce point que les solutions payante (ou les gratuites des gafam) sont pertinente.
Un mdp, je doit pas réfléchir à l'utilisation, il est partout, tout le temps. Juste un doigt, une faciale ou un clic et ça se connecte avec un password, passphrase ou certif.

Point négatif de dashlane pour moi par contre, c'est pour les logins de mon LAN, si t'as pas internet, t'as pas tes logins....
votre avatar
Pourquoi 20 et pas plus tiens ? Ça tient à quoi ?
votre avatar
On ça tient à la façon d’attaquer : arstechnica.com Ars Technica
votre avatar
Je dis peut-être n’importe quoi mais il me semblait (en tout cas sur 1Password), que le mot de passe maître ne suffit pas, il faut également rentrer la clé de chiffrement pour delocker le coffre sur un nouveau dispositif. Avec dashlane pareil ou les pirates sont plus malin que ce que j’imagine ?
votre avatar
Le plus safe serait par d'auto héberger mais avec un mTLS devant pour s'assurer personne d'autre n'ait accès ?
(Oui, il faut savoir le faire par contre)
votre avatar
C’est pourtant simple.

Il suffit de rajouter un gestionnaire de mot de passe maître, qui utilise un mot de passe super maître.
Ensuite c’est récursif, avec mega, giga, tera
Ou plus facile avec : maître1, maître2, maître3
votre avatar
Pour le trucs critiques, on peut aussi avoir une stratégie mixte avec des mots de passe constitués de 2 parties :
une partie longue, solide dans le gestionnaire de mot de passe
une partie facile à retenir dans sa tête

un attaquant qui a accès au contenu d'un coffre n'a donc pas directement accès au mot de passe critique mais seulement à une partie.
votre avatar
Résumé de l'article : si, pour obtenir des mots de passe forts, vous passez par un coffre afin d'en y générer/stocker des complexes, alors protéger ce coffre & son déverrouillage sont importants.

Euh. Oui ? Bon.