🔍 Contexte

Cet avis de sécurité a été publié par Dashlane Inc. le 1er juin 2026, avec une mise à jour le 4 juin 2026 confirmant la clôture de l’investigation. Il concerne une attaque par force brute ciblant les comptes utilisateurs de la plateforme de gestion de mots de passe Dashlane.

🎯 Nature de l’attaque

À partir du 31 mai 2026, un acteur externe a ciblé les endpoints API d’enregistrement de nouveaux dispositifs de Dashlane. L’objectif était de contourner la protection 2FA en soumettant automatiquement un grand volume de combinaisons numériques pour deviner les tokens à 6 chiffres à usage unique envoyés par email ou générés par une application d’authentification.

  • Le flux ciblé permet d’associer un nouveau dispositif (mobile, ordinateur) à un compte existant
  • Une fois un token valide deviné, l’attaquant pouvait enregistrer un nouveau dispositif et télécharger une copie du vault chiffré
  • Les systèmes automatisés de Dashlane ont déclenché un verrouillage automatique des comptes ciblés

📊 Impact

  • Moins de 20 utilisateurs (plan personnel) ont eu leur vault chiffré téléchargé par l’attaquant
  • De nombreux comptes ont été temporairement suspendus suite au verrouillage automatique
  • Aucun impact sur les systèmes internes de Dashlane n’a été identifié
  • Les utilisateurs affectés ont été directement notifiés

🔐 Chiffrement des vaults

Les vaults exfiltrés restent chiffrés avec la stack suivante : Argon2 + AES-256-CBC + HMAC-SHA256. Le déchiffrement nécessite le Master Password, qui n’est jamais transmis ni stocké sur les serveurs Dashlane (architecture zero-knowledge).

🛡️ Mesures prises

  • Blocage du trafic malveillant au niveau réseau
  • Réactivation des comptes suspendus
  • Déploiement de protections supplémentaires sur le flux d’enregistrement de dispositifs
  • Renforcement de la détection et du filtrage du trafic malveillant

📋 Type d’article

Il s’agit d’un post-mortem / avis de sécurité officiel publié par Dashlane, visant à informer ses utilisateurs de l’incident, de son périmètre et des mesures correctives déployées.

🧠 TTPs et IOCs détectés

TTP

  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1530 — Data from Cloud Storage (Collection)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ support.dashlane.com — source non référencée (0pts)
  • ✅ 7612 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts#update-jun-4