Dashlane présente des améliorations censées « tuer » les mots de passe

Stéphane Moussie |

Qui aime les mots de passe ? Personne. Ça tombe bien, Dashlane a un « plan » pour les « tuer », et ce plan porte même un nom qui en jette : Project Mirror.

Sous le vernis marketing, le gestionnaire de mots de passe présente pour l’instant des améliorations à venir de fonctionnalités existantes. Plutôt que de « tuer » véritablement les mots de passe qui existent en fait toujours, l’application va simplifier leur gestion en automatisant leur collecte et leur remplacement si besoin.

En autorisant l’accès à votre boîte mail, Dashlane va trouver la plupart de vos comptes en ligne, les mots de passe qui sont liés et vous proposer de remplacer ceux qui ne sont pas assez forts. En ajoutant à cela l’extension qui permet de les saisir automatiquement, les mots de passe deviendront effectivement moins visibles.

Cette automatisation prévue pour le début de l’année n’est que la première étape du plan pour tuer les mots de passe, promet le service.

Dashlane est utilisable gratuitement de manière individuelle sur tous les terminaux. Pour profiter de la synchronisation, de la sauvegarde en ligne et d’autres fonctions supplémentaires, il faut payer 3,33 € par mois avec un engagement d’un an.


avatar Avenger | 

J'adore Dashlane, que j'utilise depuis le tout début. Mais là, ils exagèrent un peu. Leur donner accès à mes emails? Non mais, ils ont fumé? De plus, j'utilise plusieurs adresses emails pour gérer mes différents compte; une privée, une professionnelle, une secondaire pour les sites commerciaux secondaires, etc.

avatar tchit | 

@Avenger

Ben si tu leur donnes accès à tes mdp de toute manière s’ils voulaient ils pourraient accéder à toute ta vie.

avatar marenostrum | 

mais oui, ça revient au même. et puis n'importe quel logiciel qu'on accepte installer dans nos machines, peut nous espionner si son créateur le veut, ou l'a pour but.

avatar Bigdidou | 

@tchit

Les créateurs de Dashlane n’ont en principe aucun accès à tes mots de passe.
C’est un principe essentiel.

avatar macam | 

@tchit :
Ils n’ont pas accès à nos mots de passe car ils n’ont pas le mot de passe maître qui permet de les décrypter.
Sinon, avant de se lancer dans de nouveaux projets ils devraient consolider leurs acquis : sur sur la dernière version d’iOS Dashlane n’arrive pas à remplir les champs dédiés aux identifiants et mots de passe sur les sites web.

Enfin, pour rester dans le sujet de la sécurité et faire écho à la tempête médiatique de ces derniers temps autour de failles informatiques, plus particulièrement une faille qui a fait grand bruit il y a trois mois et a bizarrement été oubliée depuis (coucou Macg !), à savoir l’accès aux mots de passe du trousseau : lorsque j’ai eu connaissance de cette faille j’ai effacé tous mes mots de passe du trousseau et je viens d’y découvrir un mot de passe accompagné d’une adresse email qui n’en est pas une mais est destinée à me faire comprendre son origine (je suis harcelé depuis environ un an et demi pour mes prises de position quant à la politique d’annexion de territoire du petit pays cher à ces extrémistes - sms d’intimidation me demandant mon adresse, emails renvoyant à des sites dont l’URL signifie dans leur langue « encore ce jeune gauchiste », etc. -) ; cela sans avoir installé de nouvelle application (le chercheur ayant trouvé cette faille d’accès au trousseau avait dû installer une application pour y parvenir).
Pour terminer, je trouve scandaleux qu’Apple offre des récompenses pécuniaires pour les découvertes de failles sur iOS mais pas sur macOS.

avatar arowbase | 

Dashlane Je connais pas par contre je suis super satisfait de la gestion des mdp avec Apple... un coup de FaceID/TouchID et hop, tout se rempli comme par magie... super pratique !!!

avatar Avenger | 

@ Arowbase,

Tant que tu ne quittes pas l'écosystème fermé d'Apple, tu peux en effet te satisfaire de la gestion des mots de passe intégré. Mais dès qu'il faut jongler avec d'autres navigateurs que Safari et d'autres environnement comme Android et Windows, il faut se diriger vers autre chose.

avatar marenostrum | 

sur les sites de banques ça marche pas, par ex.

avatar hish | 

Je pense que dashlane relance sous une autre forme leur système inbox scan ( https://korben.info/dashlane-inbox-scan.html) permettant de scanner une boîte email et de répertorier :
-tous les emails contenant une fiche d'inscription sur un site( avec le nom du compte utilisateur associé )
- les mots de passes affiché en clair en email (Oui y a encore des services qui le font ??‍♂️)
-en cas de corruption d'une base de donnée (ex Yahoo ?) de pouvoir remplir et cliquer sur les liens "modifier le mot de passe en cliquant ici " pour modifier automatiquement le mot de passe d'un compte et faire un jolie bras d'honneur au pirate ayant récupérer une bdd avec des mots de passes.

L'accès au compte Google reviens à la même procédure que si vous acceptez qu'une application lambda qui a accès à votre compte email (ex : un logiciel ou un service qui se connecte via votre gmail ou celle qui de connecte via votre compte Google+)

D'ailleurs sur la vidéo on voit des stats (email comprenant des données sensibles ou le nombre de site ayant été fragilisé par une attaque et qui mérite un changement de mdp ne serait ce que par précaution).

En gros c'est utile pour ceux qui veulent réagir rapidement et laisser la main à dashlane pour la modification. Sachant que dashlane n'a aucun accès à vos mdp selon leur stratégie de sécurité....

Est ce que le jeu en vaut la chandelle... WAIT & see je dirais. Mais l'idée n'est pas des plus mauvaises. Ne serait ce que pour donner accès à l'outil, scanner, faire son bilan sur sa sécurité et retirer l'accès. Et pourquoi pas refaire l'opération de temps en temps.

Un accès temporaire à la messagerie d'email et un scan occasionnel (comme un scan d'antivirus) serait plus rassurant qu'un accès sans limite de temps.

avatar switch | 

L'idée de Dashlane est bonne, mais hors de question que qui ce soit ou qui que ce soit lise gère mes mots de passe et encore moins ne puisse accéder à mes mails !
Le trousseau s'en charge très bien, il suffit de savoir s'en servir pour garder une copie de ses mots de passe, en plus de tous les mots de passe qui s'enregistrent automatiquement mais qui s'effacent parfois (Outlook Mac est une catastrophe sur ce point).

avatar lll | 

Le trousseau n'a pas eu une sérieuse vulnérabilité l'autre jour ?

avatar macam | 

@III :
Si, c’était il y a trois mois environ, et sauf erreur
de ma part Macg n’en a plus parlé depuis (peut-être ont-ils remis ça sur le tapis ces derniers jours dans la foulée des diverses failles de sécurité ?).

avatar marenostrum | 

ils ont déjà tes mots de passe si tu l'utilises leur application. mais t'as pas bien réfléchi. bref quand tu installes et utilises leur logiciel tu leur fais confiance.

moi j'utilise 1Password. j'ai mis tout dedans, les mots de passe de mes comptes mails et autres trucs, même ma carte d'identité, si le perd un jour, j'ai une trace.

avatar switch | 

Faire confiance à un tiers pour accéder à ses mots de passe personnels, c'est juste de la folie.
Et en plus sous forme d'abonnement mensuel: là c'est du masochisme.
Nul besoin de surchouches inutiles: l'informatique, plus c'est simple, mieux c'est, plus c'est rapide et moins ça plante.

avatar Bigdidou | 

@marenostrum

« ils ont déjà tes mots de passe si tu l'utilises leur application »
Mais enfin, bien sûr que non !

avatar marenostrum | 

on n'en sait rien. on peut pas le savoir. mais tout passe par leur logiciel et leurs serveurs. et quand on installe un truc dans la machine on fait confiance. sinon on installe pas.

avatar Bigdidou | 

@marenostrum

« on n'en sait rien. on peut pas le savoir. »

Comment ça, on n’en sait rien ?
Bien sur que si.
Les mots de passe sont cryptés avant d’aller où que ce soit.
Ces logiciels sont sous haute surveillance de tous les chercheurs en sécurité, et s’ils ne fonctionnaient pas comme ils le disent, c’est à dire ainsi, on le saurait.
On le saurait d’autant mieux que ses auteurs seraient des escrocs qui en auraient profité depuis longtemps.

Je suis sidéré que si tu as le moindre doute sur le fait que tout est évidemment crypté et inaccessible à des tiers et aux auteurs en particulier (doute injustifié), tu utilises ces logiciels !
Tu ne peux à la fois dire que tu as confiance aux auteurs de ces logiciels, et que tu penses qu’ils pourraient te mentir sur le fait que toutes les données envoyées sur leurs serveurs sont cryptées de façon dure et qu’il n’y ont aucun accès.

avatar marenostrum | 

moi je leur fais confiance parce que je n'ai pas des trucs Importants à protéger ou cacher en fait. mon activité personnelle ou professionnelle est strictement banale. sinon je ne ferais pas confiance à quiconque.

c'est comme si on laissait les clefs de l'appartement à un plombier, pour travailler pendant qu'on est au boulot, ou à des amis pour en passer quelques jours (et ne pas payer l'hôtel) en cas d'absence de notre part.

pour moi ces boites de sécurité personnelle, sont en peu comme le docteur ou l'avocat, qui connaissent tout de nous, et il faut leurs faire confiance. ils peuvent pas nous trahir, parce que ils gagnerait pas assez, par rapport à leur réputation qui leur apporte énormément plus. donc c'est de leur intérêt d'être honnête envers nous, leurs clients.

tout ça me parait cohérent. mais pas celui qui utilise ces logiciels en ayant des chose importantes à garder secret. comme c'est le cas plus haut.

avatar Avenger | 

@ marenostrum

Un peu de lecture concernant la sécurité de Dashlane. Si c'était du pipo, je pense qu'on le saurait déjà depuis longtemps.

https://blog.dashlane.com/dashlane-patented-security-architecture/

Même chose pour 1Password
https://1password.com/security/

avatar marenostrum | 

je pense qu'ils ont la clé (c'est eux les créateurs de leur algorithmes. ou les serruriers de nos portes). mais pas l'intérêt d'en profiter. la bonne réputation leur rapporte beaucoup plus.

avatar Bigdidou | 

@marenostrum

« je pense qu'ils ont la clé »
Mais c’est quad même dingue.
La clé, quelle clé. ?
La vie n’est pas ce que tu penses, mais ce qu’elle est.
Tu n’as rien compris à comment ça fonctionne.
La clé, c’est toi qui la crée, c’est ton mot de passe sui va servir de clé de cryptage.
Jamais les concepteurs et exploitants des solution comme Dashlane n’en on connaissance.
On ta donné des liens pour que tu comprennes.
Je m’arrête là, je gais m »énerver;

avatar macam | 

@marnostrum :
Tes mots de passe et autres informations sont cryptées sur Dashlane : tu es le seul à y avoir accès grâce à ton mot de passe maître ; si tu le perds tu perds tous tes mots de passe de ton compte Dashlane.

avatar martinx | 

J’utilise Dashlane depuis des années. Je ne peux que recommander

avatar Bigdidou | 

@martinx

« J’utilise Dashlane depuis des années. Je ne peux que recommander »
Moi aussi.
Inversement, faut pas s’en rendre trop dépendant non plus, surtout pour des service où c’est très compliqué voire impossible de récupérer un mot de passe.
Le jour où Dashlane est indisponible pour une raison ou une autre...
Ou encore celui où on nous annonce une faille du logiciel connue depuis 20 ans :D

avatar martinx | 

@Bigdidou

Exact mais hyper pratique. Je stock même des mots de passe de la famille.

avatar informacyde | 

Erreur sur le prix il me semble...

avatar Avenger | 

@ Switch

"L'idée de Dashlane est bonne, mais hors de question que qui ce soit ou qui que ce soit gère mes mots de passe et encore moins ne puisse accéder à mes mails !
Le trousseau s'en charge très bien, il suffit de savoir s'en servir..."

Heu, si tu utilises iCloud pour synchroniser le trousseau, cela signifie que tu laisse Apple gérer tes mots de passe ;-)

Et ce n'est pas une question de savoir se servir du Trousseau d'accès.

Ancien article à découvrir afin de mieux comprendre la différence entre l'outil intégré d'Apple et les gestionnaires de mots de passe non Apple.

https://www.macg.co/logiciels/2016/03/pourquoi-utiliser-1password-quand-le-trousseau-icloud-93596

Possible que certains aspects de l'outil d'Apple aient évolués depuis mars 2016 mais l'intérêt global des diverses solutions reste d'actualité.

avatar marenostrum | 

la solution de Apple est beaucoup mieux intégré en fait. mais ne sert que pour les mots de passe. et c'est assez opaque. là t'as un logiciel plus complet.

avatar LoydD | 

Je préfère attendre une solution pareille de la part de 1password (pour moi : ne merveille comme logiciel de gestion des pass)

Dashlane fait et promet tellement de trucs que l'on ne sait plus ce qu'ils font exactement... De plus, on ne sait pas où sont stockées réellement les données de leurs utilisateurs. Idem pour les serveurs.

Bref, ce n’est pas business plan : c’est un vrai fouillis !

C/C : Je préfère protéger mes données et celle de mes proches et, tout simplement, ne pas installer Dashlane.

Bon WE les ptits loups ;-)

avatar Avenger | 

@ LoydD

"Dashlane fait et promet tellement de trucs que l'on ne sait plus ce qu'ils font exactement... De plus, on ne sait pas où sont stockées réellement les données de leurs utilisateurs. Idem pour les serveurs."

Désolé, mais les trucs dont tu parles ne sont pas si nombreux et je n'en trouve aucun qui est difficile à comprendre dans son fonctionnement.
- Gestionnaire de mots de passe
- Gestion de notes sécurisées
- Avertissement rapide quand un site, pour lequel on possède un compte, fait face à un problème de sécurité comme vol des données, etc.
- Possibilité d'enregistrer des données administratives, carte ID, permis de conduire, etc.
- Possibilité d'enregistrer des reçus.

Pour moi, ce qui manque à Dashlane:
- Possibilité de placer sa "base de données" sur un serveur au choix, comme le propose 1Password
- Possibilité de sécuriser les notes avec un autre mot de passe que le mot de passe maître. Actuellement, c'est le même ce qui, pour moi, est une débilité en terme de sécurité
- Possibilité d'y enregistrer des petits fichiers, comme des clés de sécurité, etc.
- Possibilité, dans le générateur de mot de passe, d'exclure certains symboles qui sont difficiles à retrouver via le clavier d'un Mac

Dernier point, le support est, je trouve, assez réactif, en français et très sympathique.

Je n'ai aucune action dans cette entreprise mais j'apprécie beaucoup ce produit et donc je n'hésite pas à le mettre en avant. :-)

avatar LoydD | 

Tu vends du rêve...

Dashlane c'est : plus c'est gros plus ça devrait passer.
Pour moi, c’est : ¡No pasarán!

Enfin, sommes-nous sûrs que Dashlane est une entreprise française ?

avatar macam | 

@avenger :
Pour le serveur de son choix il me semble que Dashlane n’utilise de toute façon que des serveurs sur le sol de l’Union européenne pour ses clients européens.
Tu peux changer ton mot de passe maître.
Pour éviter des symboles exotiques dans tes mots de passe tu peux les exclure dans les réglages (tu peux aussi regénérer ton mot de passe jusqu’à ne plus y voir de symboles exotiques).

avatar Avenger | 

@macam

Ce serait stupide si je ne pouvais pas changer mon mot de passe maître. Mais pour les notes sécurisées, c'est également idiot qu'elles aient la même clé que le coffre-fort principal dans lequel je les place ;-)

Quant au symboles, tu ne réponds pas à mes attentes. Je sais bien qu'on peut exclure les symboles ou que je peux regénérer un mot de passe jusqu'à obtenir un qui correspond à ce que j'attends :-/

avatar hish | 

@Avenger

Après y a la solution solution D : tu configures un mot de passe aléatoire avec certains caractères et ensuite tu ajoutes des symboles

avatar jrmy21 | 

Trop forts Dashlane ! J’en suis vraiment satisfait !

avatar hish | 

Effectivement @bigdidou à raison : les concepteurs comme dashlane ou 1password gèrent des données ultra sensibles. Donc c'est normal qu'ils ne connaissent pas et ne peuvent pas accéder à tes mots de passes. Sinon ils seraient des cibles privilégié pour les hackers.
Leur système est cloisonnés.
J'aime bcp dashlane et 1password. La seul différence tourne surtout autour du prix et de l'ergonomie du logiciel.
D'ailleurs je trouve ça super super relou:
- le lancement automatique de dashlane sur le pc à chaque démarrage
- le fait de ne pas le supprimer de la barre des tâches
-l'apparition du gestionnaire à chaque connexion sur un site (je trouve ça agressif comme le serait un pop-up)

Sinon RAS,c'est top et français

avatar Avenger | 

@ Hish

"D'ailleurs je trouve ça super super relou:
- le lancement automatique de dashlane sur le pc à chaque démarrage
- le fait de ne pas le supprimer de la barre des tâches
-l'apparition du gestionnaire à chaque connexion sur un site (je trouve ça agressif comme le serait un pop-up)"

Sur Mac, il est possible de désactiver toutes ces options. Et il me semble que c'est le cas sous Windows également. Maîtrises-tu bien les préférences de Dashlane?

Sur la page du support Dashlane, il y a un visuel d'une partie des préférences et on y voit clairement une option "Lancer Dashlane au démarrage de l'ordinateur".

https://support.dashlane.com/hc/fr/articles/202732251-How-to-disable-the-receipt-capture-for-online-purchases

Il y a donc une forte chance que tu trouveras comment configurer l'application selon tes désirs ;-)

avatar cdp86 | 

Décidément ce début d’année est propice aux annonces Big Brother. 2018 s’annonce Joyeux.

Je serais toujours surpris de voir les stats des personnes ayant accepté la fonction d’ici 6 mois though...

avatar hish | 

@LoydD
Ça aurait du sens si tu avais recherché les informations pour comprendre comment fonctionne dashlane, 1PW & co...

"Dashlane est une entreprise française créée en 2009. " (src : https://www.nextinpact.com/news/100939-dashlane-gestionnaire-mots-passe-qui-veut-seduire-par-son-ergonomie.htm)

Concernant la sécurité : "Dans la mesure où votre mot de passe principal n'est jamais conservé sur nos serveurs, il n'y a aucun risque que quelqu'un puisse le voler."
(Src : https://www.dashlane.com/fr/security)

@Avenger : oui mais par défaut ça se lance sans pouvoir avoir l'option "quitter" en faisant un clic droit sur dashlane dans la barre des tâches. Je trouve ça stupide de devoir ouvrir dashlane pour ensuite cocher "ne pas lancer au démarrage"
Mais une fois ce ne change pas le problème : une fois le logiciel lancé, impossible de quitter sans redémarrage.

Par contre je vais me renseigner pour ne pas qu'il s'affiche comme un pop-up à chaque fois qu'une page de connexion arrive.

avatar Ielvin | 

« Dashlane va trouver la [..] , les mots de passe qui sont liés et vous proposer de remplacer ceux qui ne sont pas assez forts. « 

a condition de :

- garder ses mots de passes sur sa boîte mail .
- recevoir des sites un récapitulatif d’inscription avec notre identifiant et le mot de passe en clair ... (Oui ça existe en 2017, et d’institutions que vous ne soupçonneriez pas..)

Bref déjà là ça pêche.

Quand bien même il nous serait demandé de tester ensuite nos mots de passes afin de juger de leur sécurité ok, mais pour ça on connaît tous la règle /les règles .

CONNEXION UTILISATEUR