Le dimanche 31 mai 2026, en début d'après-midi, un acteur externe a lancé une campagne automatisée contre des comptes Dashlane. L'objectif était précis : soumettre, à cadence machine, toutes les combinaisons numériques possibles de codes à usage unique utilisés comme second facteur d'authentification, et ce avant l'expiration de chaque code. Selon The Register, les tentatives provenaient principalement de Corée du Sud et de Russie, d'après les notifications reçues directement par les utilisateurs visés.
Le déroulement a été rapide. Les contrôles automatiques de Dashlane ont détecté les tentatives répétées, verrouillé les comptes ciblés et suspendu des dizaines de comptes à titre préventif. Des notifications de suspension ont été envoyées aux utilisateurs concernés dans les heures qui ont suivi. L'enquête interne a été menée et clôturée le dimanche soir même, selon The Register, et les comptes affectés ont été rétablis dans la même journée.
La fenêtre d'action des attaquants a donc été étroite. Mais pas nulle.
Dans son avis de sécurité officiel, Dashlane a confirmé que les coffres chiffrés de moins de vingt utilisateurs du plan personnel avaient été copiés par l'attaquant. Ces coffres ne peuvent pas être consultés sans le mot de passe maître, une clé que Dashlane lui-même ne détient pas en raison de son architecture zero-knowledge. Aucun compte Business ou Teams n'a été touché. Aucune compromission des systèmes internes n'a été établie.
Dashlane précise également que les comptes concernés ont été suspendus, que leurs titulaires ont été contactés directement, et que l'accès leur a été rendu le soir même. Ce traitement rapide mérite d'être noté, sans pour autant occulter la réalité : des coffres contenant potentiellement des centaines d'identifiants se trouvent désormais entre des mains inconnues, dans un état chiffré certes, mais accessible à quiconque disposerait d'une puissance de calcul suffisante et d'un mot de passe maître faible.
Un code à usage unique à six chiffres, tel qu'utilisé par la grande majorité des applications d'authentification, ne comporte que dix millions de combinaisons possibles, de 000000 à 999999. Ce chiffre mérite attention. Comme le souligne Help Net Security, un script automatisé peut soumettre des centaines de combinaisons par seconde en l'absence de mécanismes de limitation de débit. Autrement dit, si aucun verrou ne se déclenche après un certain nombre d'erreurs, un attaquant dispose théoriquement de quelques secondes à quelques minutes pour identifier le bon code avant son expiration.
La technique utilisée contre Dashlane exploite précisément cette fenêtre temporelle. L'attaquant ne cherchait pas à deviner le mot de passe maître, une tâche autrement plus complexe. Il cherchait à franchir la barrière du second facteur pour enregistrer un nouveau terminal sur un compte existant. Une fois ce terminal enregistré, le coffre chiffré devient téléchargeable. C'est ce qui s'est produit pour moins de vingt comptes, selon les données confirmées par Dashlane.
Ce type d'attaque n'est donc pas une prouesse technique. C'est une question d'automatisation, de volumétrie et de latence de détection.
Le verrouillage automatique des comptes constitue la première ligne de défense, et il a fonctionné dans le cas présent. Les contrôles de Dashlane ont bloqué les tentatives répétées et suspendu les comptes ciblés. Mais ce mécanisme a une limite structurelle : il intervient après que plusieurs essais incorrects ont déjà eu lieu. Si un attaquant détermine le bon code OTP avant que le seuil de verrouillage ne soit atteint, le compte est accessible.
Mettons cela en contexte. Le verrouillage protège la majorité des comptes, ce qui est exactement ce qui s'est passé ici. Mais pour les comptes où l'attaquant a réussi à franchir le second facteur avant le déclenchement du verrou, moins de vingt dans ce cas, le coffre a pu être exporté. La rapidité avec laquelle l'investigation a été menée a limité les dégâts, mais n'a pas effacé le fait qu'un téléchargement a eu lieu. La copie existe, quelque part.
C'est également un rappel que la double authentification reposant sur des codes numériques à six chiffres n'offre pas les mêmes garanties qu'une authentification par clé physique ou par code d'application généré localement avec une durée de vie très courte. Les gestionnaires de mots de passe, qui sont par nature des cibles de haute valeur, gagneraient à pousser leurs utilisateurs vers des méthodes plus résistantes à ce type d'attaque automatisée.
Dashlane repose sur une architecture dite zero-knowledge : l'entreprise ne stocke pas les mots de passe maîtres de ses utilisateurs et ne peut pas déchiffrer leurs coffres. Cette conception signifie que même en cas de compromission des serveurs de Dashlane, un attaquant ne récupérerait que des données chiffrées inutilisables sans la clé que seul l'utilisateur détient. Dans l'incident du 31 mai, cette architecture a tenu. Dashlane confirme explicitement n'avoir aucun accès aux mots de passe maîtres des comptes concernés.
Pour les coffres copiés, le chiffrement constitue donc une protection réelle et documentée. SecurityWeek note que l'accès non autorisé immédiat aux données contenues dans ces coffres est statistiquement improbable. Ce n'est pas une garantie absolue, mais c'est une friction considérable pour un attaquant qui devrait déployer une puissance de calcul substantielle pour tenter de casser le chiffrement.
Le problème n'est pas dans le chiffrement lui-même. Il est dans ce que l'attaquant peut faire avec le temps. Un coffre chiffré copié peut être soumis à une attaque hors ligne, sans contrainte de débit ni verrouillage de compte. Si le mot de passe maître de l'utilisateur est court, courant ou réutilisé ailleurs, il peut être retrouvé par dictionnaire ou par force brute sans limitation.
L'incident LastPass de décembre 2022 en est la démonstration la plus documentée. Des attaquants avaient alors copié les coffres chiffrés de millions d'utilisateurs. En 2023, des pirates ont réussi à déchiffrer hors ligne les coffres de ceux dont les mots de passe maîtres étaient prévisibles ou réutilisés, dérobant plusieurs millions de dollars en cryptomonnaies. "Chiffré" ne signifie pas "inviolable" lorsque la clé est faible. L'historique est sans ambiguïté sur ce point.
Pour les vingt utilisateurs Dashlane concernés, la priorité immédiate est donc de modifier leur mot de passe maître, s'ils ne l'ont pas déjà fait, et de changer tous les identifiants stockés dans leur coffre. Aucune compromission des systèmes internes. Du moins, pas encore.
Cet incident ne se produit pas dans un vide. Les gestionnaires de mots de passe concentrent par définition une valeur extraordinaire dans un périmètre restreint : compromettre un seul coffre peut donner accès à des centaines d'identifiants couvrant des services professionnels, bancaires et personnels. Cette caractéristique en fait des cibles structurellement attractives pour des acteurs malveillants.
En septembre 2022, 1Password a signalé une tentative d'attaque utilisant un fichier de configuration interne dérobé pour cibler des employés. Aucun coffre n'a été compromis. La différence notable avec d'autres produits est que 1Password exige, en plus du mot de passe maître, une clé secrète de 128 bits générée localement et jamais transmise aux serveurs de l'entreprise. Cette couche supplémentaire rend inutile un coffre copié pour un attaquant ne disposant pas des deux éléments simultanément.
Le cas LastPass reste la référence en matière de conséquences concrètes. L'incident de décembre 2022, suivi des attaques hors ligne de 2023 sur les coffres copiés, a montré que la chaîne de compromission peut s'étendre bien au-delà de l'événement initial. Des utilisateurs dont les coffres avaient été copiés des mois plus tôt ont vu leurs actifs numériques détournés longtemps après que l'incident avait été médiatiquement clos.
Le rapport Verizon DBIR 2025 chiffre à 24 % la part des violations de données impliquant des identifiants volés ou compromis. Dans ce contexte, les gestionnaires de mots de passe sont à la fois la solution recommandée et, lorsqu'ils sont mal sécurisés ou ciblés avec précision, un vecteur d'amplification du risque. La surface d'attaque associée à un gestionnaire de mots de passe d'entreprise dépasse largement l'outil lui-même : elle englobe les pratiques de chaque utilisateur, la solidité de chaque mot de passe maître, et la fiabilité des mécanismes d'authentification choisis.
Si votre organisation utilise Dashlane en version Business ou Teams, vous êtes, selon les données publiées, hors du périmètre direct de cet incident. Dashlane a confirmé qu'aucun compte professionnel n'a été affecté. Mais s'arrêter à cette conclusion serait une erreur d'analyse.
La première question à poser est celle de la séparation des usages. Des membres de votre équipe utilisent-ils leur compte Dashlane personnel pour stocker des identifiants professionnels ? C'est une pratique courante, difficile à contrôler et régulièrement découragée par les directions sécurité, mais rarement éradiquée. Un utilisateur dont le coffre personnel a été copié peut y avoir stocké des clés d'accès, des jetons d'interface de programmation ou des identifiants VPN qui permettraient à un attaquant d'entrer dans votre infrastructure.
La seconde question concerne la chaîne de confiance autour de votre gestionnaire de mots de passe d'entreprise, qu'il s'agisse de Dashlane ou d'un autre outil. Connaissez-vous les mécanismes d'authentification que vos collaborateurs utilisent réellement ? La double authentification est-elle imposée ou seulement recommandée ? Le type de second facteur accepté est-il audité ? Ces questions n'ont souvent pas de réponse documentée dans les politiques de sécurité existantes, et c'est précisément là que ce type d'attaque trouve son point d'entrée.
La surveillance des fuites d'identifiants associés à vos domaines et à vos utilisateurs est une mesure préventive directement applicable. Si un identifiant stocké dans un coffre copié réapparaît sur un forum clandestin ou dans un fichier de données compromises, votre équipe doit en être informée avant qu'il ne soit utilisé contre vous.
Directement : moins de vingt utilisateurs du plan personnel Dashlane, tous contactés et rétablis dans la journée du 31 mai. Leurs coffres chiffrés ont été copiés, sans qu'aucun accès aux données n'ait été établi à ce stade.
Indirectement : toute organisation dont des collaborateurs utilisent Dashlane en compte personnel pour stocker des accès professionnels. Toute organisation utilisant un gestionnaire de mots de passe, quel qu'il soit, sans avoir audité ses paramètres d'authentification et ses politiques de mots de passe maîtres. Toute organisation qui considère que la double authentification est, en soi, une protection suffisante sans regard pour le type de second facteur déployé.
Plus largement, cet incident concerne les équipes sécurité qui n'ont pas encore formalisé leur réponse à la question suivante : que se passe-t-il si le coffre de mots de passe d'un de nos collaborateurs clés est copié ? Quels accès sont à risque ? Quelle est la procédure de révocation et de rotation des identifiants ? Ces scénarios doivent être documentés avant qu'un incident ne les impose.
Les utilisateurs dont les comptes ont été suspendus à titre préventif, même sans compromission établie, ont également vécu une interruption de service dans un outil dont ils dépendent quotidiennement. Pour une organisation dont les équipes s'appuient sur un gestionnaire de mots de passe centralisé, une suspension de masse pendant plusieurs heures représente un impact opérationnel réel, indépendamment de toute perte de données.
Si vous gérez la sécurité d'une organisation et que des collaborateurs utilisent Dashlane, en version personnelle ou professionnelle, plusieurs actions méritent d'être engagées sans délai.
Commencez par l'inventaire. Identifiez quels membres de votre équipe utilisent un gestionnaire de mots de passe personnel pour stocker des identifiants liés à votre organisation. Ce travail est rarement fait de manière exhaustive, et c'est compréhensible, mais l'incident du 31 mai est une occasion de le formaliser. Un simple échange avec vos équipes IT et vos responsables de département permet souvent de cartographier l'essentiel en quelques jours.
Ensuite, vérifiez vos paramètres d'authentification. Si vous déployez Dashlane Business ou Teams, assurez-vous que la double authentification est imposée — pas simplement disponible — et que les mécanismes acceptés sont documentés. Les codes OTP numériques à six chiffres offrent une protection utile mais insuffisante face à des attaques automatisées à grande échelle. Les clés de sécurité physiques conformes aux standards FIDO2 ou les applications d'authentification avec codes de courte durée et vérification de l'origine offrent des garanties sensiblement supérieures.
Parallèlement, examinez vos politiques de mots de passe maîtres. Si votre organisation impose des exigences sur les mots de passe d'accès aux applications internes mais ne dit rien du mot de passe maître du gestionnaire de mots de passe, il y a une incohérence à corriger. Un mot de passe maître faible rend théoriquement accessible tout coffre copié, comme l'a démontré l'incident LastPass.
Activez également la surveillance des fuites de données d'identification sur vos domaines. Si des identifiants extraits de coffres copiés circulent dans des bases de données compromises, vous devez en être informé pour pouvoir agir en amont d'une tentative d'utilisation. La détection précoce des indicateurs de compromission liés à vos identifiants est une capacité que votre équipe doit posséder ou externaliser explicitement.
Enfin, revoyez votre procédure de réponse aux incidents spécifiquement pour le scénario "gestionnaire de mots de passe ciblé". Qui est notifié ? Dans quel délai ? Quels identifiants sont prioritaires pour la rotation ? Cette procédure doit exister par écrit avant qu'un incident ne la rende nécessaire.
Les comptes Business Dashlane ont-ils été affectés ? Non. Dashlane a confirmé explicitement qu'aucun compte Business ou Teams n'a été touché par cet incident. Seuls des comptes du plan personnel sont concernés.
Les attaquants peuvent-ils accéder aux données des coffres copiés ? Pas immédiatement. Les coffres sont chiffrés et ne peuvent pas être déchiffrés sans le mot de passe maître, que Dashlane ne détient pas. Un accès devient théoriquement possible si le mot de passe maître est faible ou prévisible et que l'attaquant dispose du temps et des ressources pour le retrouver par force brute hors ligne. La priorité pour les utilisateurs concernés est de modifier leur mot de passe maître et de faire tourner tous les identifiants stockés.
La double authentification est-elle donc inutile ? Non, elle reste pertinente. Dans cet incident, elle a protégé la très grande majorité des comptes ciblés. Mais le type de second facteur utilisé a une importance directe sur le niveau de protection. Les codes OTP numériques sont vulnérables aux attaques automatisées à haute cadence ; les mécanismes fondés sur des clés cryptographiques ou des standards FIDO2 résistent mieux à ce type de scénario.
Comment savoir si des identifiants de mon organisation ont été exposés ? La surveillance continue des domaines et des adresses professionnelles dans les bases de données de fuites connues permet de détecter ce type d'exposition. Cette capacité peut être internalisée ou déléguée à une plateforme de veille dédiée.
Faut-il changer de gestionnaire de mots de passe ? La question n'est pas dans le choix du produit mais dans sa configuration et dans les pratiques qui l'entourent. Aucun gestionnaire de mots de passe n'est immunisé contre les tentatives de compromission. Ce qui varie, c'est la capacité de chaque solution à limiter l'impact d'une attaque réussie, et la capacité de votre organisation à détecter et répondre rapidement.
Cet incident illustre une réalité opérationnelle que les équipes sécurité MEA connaissent bien : les premières heures sont déterminantes. Dashlane a détecté, suspendu et rétabli en quelques heures. Mais les coffres copiés existent, et les identifiants qu'ils contiennent pourraient réapparaître dans des environnements que vous ne contrôlez pas.
Defendis surveille en continu les sources ouvertes, les forums clandestins et les bases de données compromises pour détecter les identifiants et les données associés à votre organisation avant qu'ils ne soient utilisés contre vous. Lorsqu'une adresse professionnelle, un identifiant de service ou un jeton d'accès lié à votre domaine est exposé, votre équipe en est informée en temps réel, avec le contexte nécessaire pour prioriser la réponse.
La différence entre un incident contenu et une compromission étendue tient souvent à une question de délai. Plus vite votre équipe est informée qu'un identifiant a fui, plus vite elle peut le révoquer avant qu'il ne soit exploité. C'est exactement ce que la détection précoce des fuites d'identifiants permet de faire, à l'échelle de votre organisation et avec une couverture que les outils internes n'offrent généralement pas seuls.
Si vous souhaitez évaluer votre exposition actuelle ou comprendre ce que Defendis peut surveiller pour votre organisation, l'équipe est disponible pour un échange sans engagement.
