Alerte Cybersécurité : Dashlane ciblé par une attaque par force brute, moins de 20 coffres-forts dérobés!!

-

Salut à tous les amoureux de l'high-tech,

L'offensive n'est pas le résultat d'une faille de sécurité ("zéro-day") dans l'infrastructure de Dashlane. Les attaquants ont utilisé une méthode classique mais redoutable : le credential stuffing et la force brute. En utilisant des bases de données de mots de passe déjà fuité sur le web, des scripts ont testé des millions de combinaisons sur le portail de connexion de Dashlane jusqu'à trouver des comptes utilisant des mots de passe faibles ou réutilisés.

L'afflux soudain de requêtes a déclenché les mécanismes de défense automatiques de Dashlane. Pour protéger ses clients, le système a verrouillé les comptes visés, empêchant légitimement leurs propriétaires d'y accéder pendant quelques heures, le temps que l'équipe d'ingénieurs reprenne le contrôle de la situation.

Coffres volés : Faut-il paniquer ?

Le point le plus sensible du rapport publié par Dashlane concerne le téléchargement direct de la copie de certains coffres-forts. Moins de 20 utilisateurs (disposant d'un plan individuel) sont concernés.

🔒 L'architecture "Zero-Knowledge" à la rescousse : Bien que les pirates possèdent le fichier contenant les mots de passe de ces utilisateurs, ils ne peuvent pas le lire. Dashlane utilise un chiffrement de bout en bout basé sur l'architecture Zero-Knowledge. Les données restent chiffrées tant que le "Mot de passe maître" n'est pas saisi. Dashlane ne connaissant pas ce mot de passe, il n'est pas stocké sur ses serveurs et n'a donc pas pu être volé.

Les pirates ont donc une boîte blindée entre les mains, mais pas la clé. Le seul risque majeur réside dans le fait que ces 20 utilisateurs aient utilisé un mot de passe maître extrêmement faible, auquel cas les pirates pourraient tenter de casser le chiffrement du fichier localement par force brute. Dashlane a précisé que seuls les utilisateurs ayant reçu un mail spécifique d'avertissement sont concernés par ce vol.

La réponse de Dashlane et recommandations

Dans un communiqué publié sur Reddit, X et son site de support, Dashlane a confirmé avoir coupé le trafic provenant des infrastructures des attaquants. Tous les comptes suspendus par sécurité ont été restaurés, y compris ceux qui rencontraient des difficultés avec la double authentification (2FA).

Si tu es utilisateur de Dashlane, voici les réflexes à adopter :

  1. Pas de panique : Si tu n'as pas reçu d'e-mail spécifique concernant une compromission de ton coffre-fort, ton compte est hors de cause.

  2. Ne réinitialise rien dans l'urgence : Dashlane a explicitement conseillé de ne pas modifier ou réinitialiser le mot de passe principal durant la phase de stabilisation.

  3. Renforce ton mot de passe maître : C'est le moment idéal pour t'assurer que ton mot de passe principal Dashlane est long (plus de 14 caractères), complexe (chiffres, lettres, symboles) et surtout unique (jamais utilisé ailleurs).

  4. Active la 2FA : L'authentification à deux facteurs reste le meilleur rempart. C'est elle qui a sauvé la mise à de nombreux utilisateurs lors de cette attaque en bloquant la finalisation de la connexion des pirates.

L'avis du blog :

Cet incident rappelle une vérité fondamentale de la sécurité moderne : les gestionnaires de mots de passe restent la cible prioritaire des cybercriminels. Cependant, l'événement démontre aussi la robustesse du modèle : même en réussissant à s'emparer de fichiers de coffres-forts, les pirates se cassent les dents sur le chiffrement local. Dashlane a réagi promptement en appliquant des blocages stricts, prouvant que leurs barrières de sécurité intégrées fonctionnent comme prévu. Un sérieux rappel à l'ordre sur l'importance de la solidité de notre mot de passe maître.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Règlement d'un montant de 1,375 milliard de dollars de Google pour le Texas!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de Google qui a   récemment accepté de verser 1,375 milliard de dollars à l'État du Texas pour régler deux poursuites l'accusant de suivre les données personnelles des utilisateurs, y compris leur localisation, leurs recherches en mode incognito, ainsi que leurs données vocales et faciales, sans leur consentement. Ces poursuites ont été initiées par le procureur général du Texas, Ken Paxton, en 2022. Ce règlement est le plus important jamais obtenu par un procureur général contre Google en matière de lois sur la vie privée au niveau national. Paxton a déclaré : « Au Texas, Big Tech n'est pas au-dessus des lois. » Un porte-parole de Google a indiqué que l'entreprise réglait ces poursuites sans admission de culpabilité et sans avoir à modifier ses produits. José Castañeda a précisé que ce règlement concernait des réclamations anciennes, dont beaucoup avaient déjà été résolues ailleurs, et a souligné que Google cont...
Lire la suite

Clap de fin sur le rachat Activision Blizzard par Microsoft: la FTC perd en appel!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour la fin du feuilleton du rachat d'Activision Blizzard King par Microsoft touche à sa fin. La Federal Trade Commission (FTC), l'autorité américaine de la concurrence, a perdu son appel visant à bloquer cette acquisition de 69 milliards de dollars. Cette décision judiciaire lève le dernier obstacle juridique aux États-Unis, rendant l'opération désormais officielle sur ce marché clé. Une victoire décisive pour Microsoft Après plusieurs mois de batailles judiciaires, Microsoft a triomphé. La cour d'appel américaine a confirmé la décision de première instance, rejetant les arguments de la FTC qui tentait d'obtenir une injonction pour suspendre le rachat. Ce revers pour le régulateur souligne son incapacité à freiner la consolidation dans le secteur technologique et du jeu vidéo. Les préoccupations de la FTC La FTC s'était opposée à cette acquisition en évoquant des risques pour la concurrence, craignant que Microsoft ...
Lire la suite

Investissement d'un montant d'1 milliard d'euros dans un data center européen par Tik Tok!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de l'annonce de TikTok à propos d'un investissement d'un milliard d'euros pour la construction d'un nouveau data center à Kouvola, dans le sud-est de la Finlande.  La semaine précédente, l'Union européenne avait infligé une amende de 530 millions d'euros à TikTok, accusé de transférer les données des utilisateurs européens vers la Chine sans garanties suffisantes contre l'accès des autorités chinoises. En réponse, TikTok a annoncé son intention de faire appel de cette décision. L'initiative en Finlande s'inscrit dans le cadre du Projet Clover, un programme plus vaste de 12 milliards d'euros lancé par TikTok pour renforcer la protection des données de ses 175 millions d'utilisateurs européens. L'entreprise considère cette infrastructure comme une « étape significative » dans son engagement envers la sécurité des données sur le continent. Le futur data center permettra de stocker...
Lire la suite