C’est la hantise de tous les utilisateurs de gestionnaires de mots de passe : voir leur coffre-fort dérobé. C’est malheureusement ce qui est arrivé à une vingtaine d’utilisateurs de Dashlane.
Le service a annoncé avoir été la cible d’une cyberattaque le 31 mai. Un assaillant a lancé une attaque par force brute contre certains comptes. Son objectif était de casser l’authentification à deux facteurs afin d’enregistrer de nouveaux appareils sur les comptes ciblés puis de s’emparer de leurs données. Le système de sécurité de Dashlane a automatiquement verrouillé les comptes en question. Par « verrouillé », il faut comprendre « suspendu », mais l’entreprise assure avoir depuis rétabli l’accès à tous les comptes concernés.
Cette barrière n’a toutefois pas complètement bloqué l'attaque. Dashlane indique que le pirate a réussi à télécharger une copie des coffres-forts chiffrés de moins de vingt utilisateurs disposant d’un forfait personnel. L’entreprise a d’ores et déjà contacté toutes les personnes concernées. Si vous n’avez reçu aucun message, vous n’avez donc a priori aucune inquiétude à avoir.
Et pour ceux dont le coffre-fort chiffré a fuité ? Le pirate ne peut pas ouvrir les coffres sans les mots de passe maîtres. Mais le malandrin pourrait tenter de les obtenir par ingénierie sociale ou par hameçonnage, en poussant les victimes à révéler involontairement ce précieux sésame. Autre possibilité : l’attaque par force brute, qui consiste à tester un très grand nombre de combinaisons jusqu’à trouver la bonne. Dans ce cas-là, mieux vaut disposer d’un mot de passe maître robuste, sans quoi le coffre aux trésors risque de s’ouvrir rapidement.
Pour rappel, un mot de passe solide est avant tout un mot de passe long, d’au moins une quinzaine de caractères. Il faut également éviter de le construire à partir d’informations personnelles (date de naissance, ville d’origine…), de mots courants (« password », par hasard) ou de suites logiques faciles à deviner (« 12345 », par exemple).
LastPass force enfin tous ses clients à utiliser un mot de passe maître de 12 caractères
Les conséquences d’un tel incident peuvent se faire sentir longtemps après l’attaque. L’exemple de LastPass est parlant : en 2022, l’entreprise avait été victime d’un vol de données similaire, mais à l’échelle de millions d’utilisateurs. Trois ans plus tard, la société de cybersécurité TRM Labs a établi un lien entre plusieurs vols de cryptomonnaies et cette fuite. Selon ses analyses, des pirates sont parvenus à déchiffrer progressivement certains des coffres dérobés en 2022, avant de s’emparer des actifs qu’ils contenaient.
En clair, si un jour votre coffre-fort principal est compromis et que votre mot de passe maître n'est pas d'une solidité à toute épreuve, vous serez bon pour modifier, un par un, l'intégralité des identifiants qui s'y trouvent.
Fin de partie pour l’offre gratuite du gestionnaire de mots de passe Dashlane
Source :
