Après LastPass fin 2022, c’est au tour de Dashlane d’être victime d’une fuite de données : « Les attaquants ont pu télécharger une copie des coffres-forts chiffrés de moins de 20 utilisateurs sur un forfait personnel », reconnait l’entreprise.

Des coffres-forts chiffrés dans la nature

« À partir du dimanche 31 mai 2026, un pirate a lancé une attaque par force brute contre certains comptes d’utilisateurs de Dashlane », explique l’entreprise. L’attaquant essayait de casser l’authentification à deux facteurs afin d’enregistrer de nouveaux appareils sur des comptes d’utilisateurs, pour ensuite accéder aux données.

Bien évidemment, des protections ont permis de limiter l’attaque – mais pas de la bloquer totalement : « En raison du nombre élevé de tentatives d’accès aux comptes utilisateurs, les contrôles de sécurité de Dashlane ont automatiquement verrouillé les comptes ciblés par l’attaque », explique Dashlane.

Des comptes ont été suspendus de manière temporaire, mais surtout pour une vingtaine de clients le coffre-fort a été dérobé. Ils ont tous été déjà contactés individuellement par Dashlane.

Quels sont les risques ?

Avec les coffres-forts chiffrés, le ou les pirates ne peuvent pas faire grand-chose, sauf à réussir à les ouvrir évidemment. Ils accéderaient alors à l’intégralité des informations qu’ils contiennent : mots de passe, identifiants… une vraie caverne d’Alibaba.

Pour arriver à leurs fins, ils peuvent tenter de faire du phishing afin que vous « donniez » involontairement votre mot de passe maître, mais aussi tenter de passer en force.

Brutale, cette méthode consiste à tester toutes les combinaisons possibles jusqu’à trouver la bonne. En théorie, cela finit toujours par fonctionner. En pratique, il faut un temps quasi infini selon la taille et la complexité de votre mot de passe. On parle aussi d’entropie.

Autant dire que si votre mot de passe est « password123 », il ne tiendra même pas quelques secondes. Avec une copie de votre coffre-fort en sa possession, un pirate peut effectuer autant de tentatives qu’il le souhaite jusqu’à réussir à trouver le bon mot de passe et ainsi percer les protections.

Des années plus tard, la fuite Lastpass fait toujours des victimes

La fuite de Lastpass fin 2022 en est un parfait exemple. Cette fuite avait encore des conséquences en 2025, comme le rapporte BleepingComputer : « Plutôt que le portefeuille [de cryptomonnaie, qui est aussi parfois stocké dans les coffres-forts, ndlr] soit vidé immédiatement après une brèche, les vols se sont multipliés par vagues des mois ou des années plus tard, illustrant comment les attaquants décryptaient progressivement les coffres ».

Une autre manière de le dire : si votre coffre-fort est dans la nature, il est plus que recommandé de changer l’intégralité des secrets et mots de passe qui y sont enregistrés. Un pirate pourrait en forcer la porte maintenant comme dans quelques années quand la puissance de calcul coutera bien moins chère, par exemple.

Votre mot de passe maître doit être fort et robuste !

Dashlane reconnait ne pas avoir « d’exigences spécifiques pour les mots de passe maîtres », mais précise néanmoins s’appuyer sur « l’algorithme zxcvbn [de Daniel Lowe Wheeler chez Dropbox, ndlr] afin d’évaluer la sécurité de votre mot de passe lors de sa création ». L’entreprise prodigue aussi quelques conseils. Next a aussi des dossiers sur le sujet.

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
• Phrases de passe : l’ANSSI passe en mode 2.0

Les clients de Dashlane sont les victimes, mais cette affaire rappelle l’importance du mot de passe maître qui sera le dernier rempart en cas de fuite de données. C’est valable quel que soit le gestionnaire utilisé, y compris (et surtout) en autohébergé. Si vous autohébergez un gestionnaire, ne sous-estimez surtout pas le mot de passe maitre.

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)
• #Nextpresso : on installe Vaultwarden sur une VM gratuite Google et Oracle… ça marche ?