Dashlane établit un curieux palmarès des villes américaines les mieux sécurisées

Mickaël Bazoge |

Dashlane a établi un classement des villes américaines les moins sécurisées en fonction de la force des mots de passe des utilisateurs de ce gestionnaire bien connu. Le service a pris les vingt métropoles les plus peuplées des États-Unis, ainsi que vingt villes qui hébergent les QG de grosses entreprises et d'importantes agences du gouvernement US.

Les villes américaines les plus peuplées où les mots de passe sont les mieux sécurisés sont Minneapolis, Seattle et San Francisco. Phoenix, Houston et Atlanta ferment le ban. Pour les villes qui hébergent des institutions et des grandes entreprises, le podium est occupé par Fort Meade dans le Maryland (la NSA y est basée), Cupertino et Redwood City, deux bourgades californiennes abritant de grosses sociétés techno.

Pour établir ce classement, Dashlane se base sur un score composite composé de plusieurs catégories : la moyenne de la force des mots de passe, le nombre moyen de mots de passe, le nombre de mots de passe réutilisés, … Cette étude a une vertu, celle de rappeler l'importance d'avoir des mots de passe forts pour protéger l'accès à ses comptes en ligne.

Tout cela est louable, sauf que l'initiative s'est retournée contre son auteur. Beaucoup trouvent curieux, voire franchement inquiétant, que Dashlane ait ainsi accès aux mots de passe de ses utilisateurs pour réaliser son étude. Un cadre de 1Password, le service rival, n'a pas pu s'empêcher de réagir sur Twitter :

« C'est si choquant… 1Password ne pourrait pas produire un tel rapport même si on le voulait. Nous ne pouvons pas utiliser des informations que nous ne collectons pas ».

Devant la bronca qui s'est levée, Dashlane a mis les points sur les « i » : le service ne peut pas accéder aux mots de passe ou aux données individuelles des utilisateurs. Il utilise des données agrégées anonymisées. Cela semblait évident, mais ça va mieux en le disant.


avatar thewindwaker | 

Ça paraissait évident qu'ils ne collectent que les données de qualité des mots de passe.
Le cadre de chez 1password le sait et il en profite pour tacler méchamment et injustement une boite adverse.
Le respect est parti aux oubliettes.

avatar C1rc3@0rc | 

@thewindwaker

Rahhh mais il faut pas voir le mal partout comme cela: Dahslane comme tous les autres de la categorie anonymise les données qu'ils collectent. Il faut faire confiance dans l'anonymisation, sinon ou va-t-on...

Bon ok, c'est du pur sarcasme.
Bien evidemment on est sur du foutage de gueule absolu du client de la part des ces societes.
J'ai evalué quasi tous les logiciels de ce type: absolument tous ceux testés balancent de la données sur les reseau et pas que sur l'adresse officielle de l'editeur...

Pour rappel la legislation americaine impose que les societes qui collectent, hebergent ou meme se limitent a faire transiter des données sur leurs serveurs - ou qu'ils soient dans le monde - doivent garantir un acces a ces données sur requete administrative...

Dans le cas de Dashlane ce qui est marrant - ou consternant - c'est que le foutage de gueule est vraiment ostentatoire: la donnee est clairement localisée. Apres le monsieur de 1password n'aurait peut etre pas du la ramener...

avatar lll | 

Je suis bien d'accord avec thewindwaker : taper gratuitement sur un concurrent tout en sachant qu'il n'a pas fauté, c'est non seulement malhonnête, mais c'est aussi faire feu de tout bois.

Le réel problème de 1Password et de Dashlane, et ils communiquent moins là-dessus, c'est que leur code source n'est pas public.

avatar Nesus | 

En fait personne ne lit ce qui suit l’installation du logiciel ?
Parce que Dashlane explique clairement ce qui est fait des données. Et pas dans une foutue cluf illisible...
Oui Dashlane utilise le résumé des mit de passe. C’est même un fichier que l’on peut modifier dans l’appli. Mais il n’y a rien d’autre que des stats dans ce fichier. Celles qui s’affichent sur la capture d’écran. À ce moment, effectivement localiser la source de l’info est facile. Définir qui l’a émise....
Après on me soutiendra qu’il est toujours possible en recoupant de trouver la personne. Certes, mais jusqu’à preuve du contraire, ils ont autres choses à faire et ils ne vendent pas ses infos à des publicitaires (qui eux ne se gêneraient pas).

Bref, tempête dans un verre d’eau.

avatar MKO | 

Ok ils annonymisés les données. Mais si les mots de passes sont analysés c’est qu’ils sont lisibles ie divulgables et utilisables non ? Inquiétant je trouve. Les mots de passe ne devraient pas être lus du tout nom (sauf si on a le mot de passe maître) ?

avatar Korhm | 

@MKO

Bien sûr qu’ils sont lisibles. Sur la machine (PC, tablette, ...) qui héberge l’application Dashlane. Sinon il serait impossible de « rentrer » le mot de passe à la place de l’utilisateur.

Je ne connais pas dashlane (j’utilise keepas), mais je suppose que la base locale est chiffrée avant d’être synchronisée.
Les stats doivent donc êtres faites quand la base est en clair, c’est à dire quand l’utilisateur entre son mot de passe maître.

avatar Jeanlucesi | 

Un gestionnaire open source : https://bitwarden.com/

avatar koko256 | 

Ras le bol de ces mots de passe. Des milliers d'années que cela n'a pas évolué et que ça n'est pas fiable. Et ne me sortez pas qu'on ne peut rien faire. Les algos de signature à la ecdsa permettent de faire ça assez simplement. Mais ça rend le gestionnaire de mot de passe obligatoire. Que ça soit au moins une option.

avatar Pobla Picossa | 

@koko256
Bientôt, avec FaceID sur tous les appareils et un générateur automatique de MDP, tout sera bien plus facile.

CONNEXION UTILISATEUR