2026-06-04T16:42:25+02:00

Interface Dashlane, le gestionnaire de mot de passe attaqué

Dashlane perd vos mots de passe… mais refuse de dire comment

Ny Ando A. Publié le 4 juin 2026 Mis à jour le 4 juin 2026 3 minutes de lecture Sécurité

Dans un avis publié lundi, Dashlane, le gestionnaire de mots de passe, a indiqué qu’une attaque par force brute avait visé certains de ses utilisateurs. Selon l’entreprise, des attaquants ont tenté, à partir du 31 mai 2026, de contourner les protections d’authentification à deux facteurs (2FA).

Cela, afin d’enregistrer de nouveaux appareils sur des comptes existants. L’opération aurait permis d’accéder à une vingtaine de coffres-forts chiffrés. Ce qui a vite semé la confusion. De nombreux utilisateurs peinent à comprendre ce qui s’est réellement passé, et Dashlane reste très discrète sur les détails.

Plusieurs estiment que l’entreprise aurait dû communiquer davantage avec ses clients, en particulier ceux qui paient pour le service.

Fort heureusement, les victimes de cette attaque, dont les coffres-forts chiffrés ont été récupérés, ne sont pas nombreux. Moins de vingt utilisateurs. La boîte assure également que les autres clients ne sont pas concernés s’ils n’ont reçu aucun message spécifique.

La société rappelle par ailleurs que le contenu des coffres-forts reste protégé par le mot de passe maître de déchiffrement. Celui-ci n’est ni stocké ni connu de Dashlane, ce qui limite théoriquement les risques d’accès aux données.

Dashlane a été attaqué mais les détails sont flous

Au fait, un utilisateur britannique a partagé une capture d’écran de la notification reçue dimanche. Inquiet, il a contacté l’assistance de Dashlane, mais n’a obtenu aucune explication claire.

L’explication officielle laisse pourtant planer plusieurs zones d’ombre. Habituellement, l’authentification à deux facteurs repose sur un code temporaire envoyé par SMS, e-mail ou généré par une application dédiée.

Ces codes expirent généralement après quelques dizaines de secondes. Or, la notification mentionnée par les utilisateurs indiquait une durée de validité de trois heures, un détail qui intrigue les spécialistes. Cette particularité soulève des interrogations sur la nature exacte du mécanisme ciblé.

En théorie, une attaque par force brute consiste à tester un très grand nombre de combinaisons jusqu’à trouver la bonne. Avec un code à six chiffres, il existe un million de possibilités. Pour réussir dans un délai aussi court, les pirates auraient dû envoyer un volume colossal de tentatives.

Même si cela reste techniquement possible, un tel scénario paraît peu compatible avec les protections habituellement mises en place sur ce type de service. Dashlane laisse d’ailleurs entendre que des mécanismes automatiques ont bloqué les comptes visés en raison du nombre inhabituel de tentatives détectées.

Il existe une éventuelle explication quoique…

Une autre hypothèse pourrait expliquer la confusion actuelle, en effet. Voyez-vous, certaines formes de 2FA reposent sur des notifications push envoyées directement sur un appareil de confiance.

Dans ce cas, après avoir franchi la première étape d’authentification, un utilisateur doit simplement approuver une demande sur son téléphone ou son ordinateur. Les cybercriminels exploitent parfois cette méthode à travers ce que les spécialistes appellent une « attaque par fatigue 2FA ».

Le principe est simple. Multiplier les demandes de connexion jusqu’à ce que la victime, lassée ou distraite, finisse par accepter une notification par erreur. Toutefois, cette technique suppose déjà que le premier facteur d’authentification ait été compromis auparavant.

C’est justement l’un des points que Dashlane ne détaille pas. L’entreprise ne précise ni la nature de ce premier facteur ni la manière dont les attaquants auraient pu le contourner.

Une autre possibilité consiste en un abus du processus permettant d’ajouter un nouvel appareil à un compte Dashlane. Dans ce type de scénario, les pirates cherchent généralement à convaincre l’utilisateur de valider une demande qui semble légitime. Sauf qu’elle concerne en réalité l’appareil de l’attaquant.

Evidemment, ce ne sont que des hypothèses. Plus de quarante-huit heures après la publication de l’avis de sécurité, Dashlane n’a toujours pas apporté d’explications détaillées sur le déroulement exact de l’attaque.