Le gestionnaire de mots de passe Dashlane a révélé le 2 juin que des attaquants avaient accédé à environ 20 comptes clients lors d’une cyberattaque le week-end dernier, téléchargeant des copies chiffrées de leurs coffres de mots de passe. L’entreprise a déclaré que les attaquants avaient forcé par brute force son système d’authentification à deux facteurs à l’aide d’un logiciel automatisé qui soumettait rapidement toutes les combinaisons numériques possibles pour deviner les codes 2FA de courte durée avant qu’ils n’expirent — ce qui leur a permis d’enregistrer de nouveaux appareils sur des comptes existants et de télécharger des copies des coffres. Dashlane a affirmé qu’il n’y avait aucune preuve que ses propres systèmes aient été compromis, mais n’a pas expliqué pourquoi sa limitation de débit 2FA n’avait pas bloqué l’attaque. Elle a déclaré avoir «pris des mesures pour atténuer le risque d’incidents futurs» sans préciser quelles étaient ces mesures, et a informé les quelque 20 clients concernés. Dashlane n’a pas répondu à la demande de commentaire de TechCrunch; elle n’a pas divulgué si les victimes étaient ciblées spécifiquement, qui a mené l’attaque, ou si des demandes de rançon ont été formulées.
Les coffres volés sont chiffrés et ne peuvent pas être lus sans le mot de passe principal de chaque client, que Dashlane affirme n’être jamais téléchargé en clair sur ses serveurs. Cependant, l’entreprise a averti que les clients avec des mots de passe principaux faibles ou faciles à deviner courent un risque accru de voir le contenu de leur coffre déchiffré. L’incident est une violation rare mais conséquente pour le secteur des gestionnaires de mots de passe: en 2022, LastPass a confirmé que des sauvegardes de coffres chiffrés avaient été volées, et depuis lors, des chercheurs et journalistes spécialisés en sécurité ont documenté des cas où des attaquants ont craqué les mots de passe principaux des premiers comptes LastPass dont le chiffrement utilisait des normes plus anciennes et plus faibles, entraînant le vol important de cryptomonnaies à partir des clés privées stockées des victimes.