Dashlane a révélé les détails d'une faille de sécurité qui a permis aux attaquants de télécharger des coffres de mots de passe chiffrés. Le vecteur d'attaque : l'exploitation d'une vulnérabilité dans le système d'authentification, pas une faiblesse du chiffrement lui-même. Les données restaient chiffrées côté serveur, mais l'accès non autorisé au fichier local était possible via une fuite d'API ou un défaut de validation de session.
Le pire n'est pas la brèche technique — c'est que les utilisateurs n'ont eu aucun signal d'alerte. Aucune notification de tentative d'accès suspecte, aucun double-check avant téléchargement massif. Les gestionnaires de mots de passe vivent de la confiance : le jour où tu découvres que quelqu'un a copié ton coffre, même chiffré, c'est terminé.
Dashlane a bouclé la faille et forcé les réinitialisations de compte. Mais voilà le dilemme : si un coffre chiffré tombe entre de mauvaises mains, même inviolable, l'attaquant peut faire du brute-force offline, surtout si ta phrase de passe est faible. C'est pourquoi les experts conseillent de changer les mots de passe critiques (email, banque) dès maintenant — pas dans 6 mois.
La leçon : un gestionnaire, même blindé, c'est une cible pour les hackers. Le vrai contrôle, c'est de surveiller les alertes de sécurité, d'activer l'authentification multi-facteurs partout, et de garder une ou deux clés offline.