Skip to content
hacker_posts

Dashlane : 2FA brute-forcé, une vingtaine de coffres chiffrés copiés

Le gestionnaire de mots de passe confirme une attaque par force brute du second facteur lancée le 31 mai. Moins de 20 coffres-forts chiffrés ont été téléchargés.

Publié le 5 min de lecture
fuitedashlanepassword-manager2fafrance

Dashlane, gestionnaire de mots de passe d'origine française, confirme avoir subi à partir du 31 mai 2026 une attaque par force brute visant l'authentification à deux facteurs d'une partie de ses comptes utilisateurs. L'éditeur précise que les attaquants ont réussi, dans un nombre limité de cas, à enrôler un nouvel appareil et à télécharger une copie du coffre-fort chiffré correspondant. Le bilan revendiqué par Dashlane : moins de 20 comptes « personal plan » impactés. La communication officielle est publiée sur l'avis de sécurité Dashlane ; côté presse francophone, l'incident est documenté par MacGeneration et Next. Recoupement anglophone côté TechCrunch et BleepingComputer.

L'infrastructure Dashlane n'a, à ce stade, pas été compromise. L'attaque cible les comptes utilisateurs un par un.

Ce qui s'est passé

D'après l'avis de sécurité de l'éditeur :

  • Démarrage : 31 mai 2026. Un acteur externe lance une campagne automatisée contre les comptes Dashlane, en testant toutes les combinaisons numériques possibles du code 2FA TOTP avant son expiration.
  • Objectif : enrôler un nouvel appareil sur un compte cible. Une fois un appareil enregistré, l'attaquant peut télécharger le coffre-fort chiffré stocké sur les serveurs de Dashlane.
  • Volume : moins de 20 comptes utilisateurs en forfait personnel ont vu leur coffre-fort téléchargé. Aucun compte Business / Team confirmé impacté par Dashlane à ce stade.
  • Réponse automatique : la plateforme a verrouillé un nombre plus large de comptes ciblés en raison du volume de tentatives ratées. Tous ces comptes ont depuis été rouverts.

Le contenu des coffres reste chiffré côté client par le mot de passe maître, qui n'est jamais transmis à Dashlane. Le déchiffrement par l'attaquant suppose que ce mot de passe soit devinable hors-ligne — ce qui ramène toute la sécurité résiduelle à la robustesse de la phrase de passe choisie par chaque utilisateur compromis.

Pourquoi le second facteur a cédé

Dashlane n'a pas publié les détails de l'implémentation 2FA mise en défaut, mais la mécanique décrite est cohérente avec une faiblesse de limitation de débit sur la validation des codes TOTP : si le serveur autorise plusieurs milliers de tentatives par minute sur un même compte avant déclenchement, l'espace de 10⁶ codes à 6 chiffres devient explorable dans la fenêtre de validité du code. Le contrôle qui a fini par bloquer les attaquants est arrivé après que quelques comptes aient été enrôlés. Pour les autres, c'est le verrouillage automatique qui a interrompu l'enchaînement.

À noter : Dashlane ne précise pas si la 2FA bypassée concerne uniquement des codes TOTP / SMS, ou si l'attaque a aussi touché des comptes protégés par clé matérielle (FIDO2 / WebAuthn). La rédaction de l'avis (« certains comptes ») laisse l'angle ouvert ; en l'absence de précision contraire, on lit l'incident comme un échec côté TOTP, pas côté FIDO2.

Que faire si vous utilisez Dashlane

  1. Vérifiez si Dashlane vous a contacté. L'éditeur indique avoir notifié individuellement les utilisateurs dont le coffre a été téléchargé. Si vous êtes dans la liste, considérez tous les secrets stockés dans le coffre comme à régénérer : changez chaque mot de passe stocké et faites tourner toutes les clés API, codes de récupération, notes sensibles.
  2. Évaluez la robustesse de votre mot de passe maître. S'il fait moins de 16 caractères, s'il est dérivé d'une phrase courante ou s'il a déjà été utilisé ailleurs, partez du principe qu'un attaquant disposant du coffre peut le casser hors-ligne. Changez-le, puis re-chiffrez l'intégralité du coffre.
  3. Passez sur une 2FA matérielle. Si votre compte Dashlane est aujourd'hui protégé par TOTP ou SMS, basculez sur une clé YubiKey ou équivalent FIDO2. C'est la mitigation qui sort l'authentification du facteur brute-forçable.
  4. Auditez les appareils enregistrés. Ouvrez les paramètres de sécurité Dashlane et révoquez tout appareil que vous ne reconnaissez pas. Faites le même tri sur les jetons de session actifs.
  5. Faites tourner les credentials critiques même si vous n'êtes pas notifié. L'avis ne décrit pas exhaustivement les critères de sélection des cibles. Pour les comptes les plus sensibles (messagerie principale, banque, infrastructure d'entreprise), une rotation préventive coûte une heure et neutralise un éventuel oubli.

Lecture entre les lignes

Trois angles méritent d'être suivis sur la durée :

  • La pression sur les password managers s'installe. Après les incidents LastPass de 2022, l'extraction de coffres-forts chiffrés est devenue un mode d'attaque économiquement justifié : la marchandise vaut la peine d'être stockée des mois en attendant que les mots de passe maîtres faibles cèdent au crack hors-ligne. Vingt coffres dérobés aujourd'hui peuvent devenir vingt comptes pleinement compromis dans six mois.
  • Le 2FA « par défaut » TOTP ne suffit plus. Le calibrage du rate-limiting côté serveur reste l'angle mort historique de l'OTP. Dashlane a corrigé sous pression, mais l'incident pose la question à tous les services qui acceptent encore un code à 6 chiffres comme deuxième facteur sans plafond strict.
  • Pas d'IOC publié. Aucune IP source, aucun pattern de requête, aucune empreinte d'user-agent communiqués par Dashlane à ce stade. Les équipes SOC qui voudraient corréler des tentatives 2FA anormales sur leurs propres SaaS ne peuvent pas s'appuyer sur l'avis de l'éditeur pour le faire. Si Dashlane publie un jour des indicateurs verbatim, ils seront ajoutés à ce post.

L'incident reste mesuré dans son périmètre — moins de 20 coffres sur plusieurs millions d'utilisateurs. Mais l'enseignement opérationnel, lui, dépasse Dashlane : la 2FA TOTP est devenue la cible, plus la défense.

Articles liés