Dashlane a eu un week-end difficile. Le gestionnaire de mots de passe populaire a suspendu un certain nombre de comptes clients après unevague d'attaques par force brutea frappé sa plate-forme, déclenchant des réponses de sécurité automatiques sur plusieurs profils d'utilisateurs.
La société n'a pas révélé l'ampleur exacte de l'attaque, mais de nombreux utilisateurs ont inondé les réseaux sociaux de questions après avoir reçu des e-mails inattendus de suspension de compte.
Les attaquants ciblent les utilisateurs de Dashlane avec des tentatives d'enregistrement d'appareils
Les e-mails de suspension ont donné aux clients une image claire de ce qui s'est passé. Selon Dashlane, quelqu'un avait tenté d'enregistrer un nouvel appareil sur les comptes concernés et avait saisi à plusieurs reprises le mauvais jeton d'authentification. L'entreprise a suspendu ces comptes par mesure de précaution, et chaque e-mail contenait des instructions sur la manière de contacter le support client et de restaurer l'accès.
Les attaques ont débuté dimanche après-midi. L’équipe de Dashlane s’est immédiatement mise au travail et la page de statut de l’entreprise a confirmé plus tard que l’équipe avait terminé son enquête dimanche soir, rétablissant ainsi tous les comptes concernés. Dashlane a également publié une déclaration auprès des utilisateurs sur les réseaux sociaux, confirmant qu'aucun système interne n'a été confronté à une quelconque forme de compromission lors de l'incident.
Lundi a apporté une mise à jour de la page de statut. Dashlane a répété la même déclaration qu'elle avait publiée la veille, mais a changé l'étiquette de l'incident de « résolu » à « surveillance », signalant que l'entreprise n'était pas encore pleinement sûre que la menace était passée.
Tentatives de connexion attribuées à la Corée et à la Russie
Les utilisateurs ne sont pas restés silencieux. Plusieurs d'entre eux ont déclaré avoir reçu des notifications concernant des tentatives de connexion non autorisées sur leurs comptes, la Corée et la Russie figurant comme sources les plus courantes. Dashlane n'a pas précisé si l'une de ces tentatives avait réellement abouti à un compte client.
Les attaques ont également perturbé le service d’authentification à deux facteurs de Dashlane. Certains utilisateurs ont tenté de récupérer leurs codes d’accès à usage unique 2FA lors de l’incident et ont reçu des messages d’erreur à la place. Pour une plate-forme qui existe spécifiquement pour sécuriser les informations d’identification, un système 2FA défaillant au plus fort d’une attaque active était une frustration importante.
L'authentification et la confidentialité sont également au centre deLe projet de loi canadien C-22. La législation donnerait à la police de nouveaux pouvoirs de surveillance, sonnant ainsi l'alarme concernant la confidentialité des utilisateurs et l'accès aux données.
La perturbation s’est prolongée jusqu’au week-end pour l’équipe d’ingénierie de Dashlane. Attraper et répondre à une campagne active de force brute un dimanche après-midi n'est pas une situation idéale. Cela a obligé à agir rapidement pour contenir les dégâts avant que l’attaque ne puisse se propager davantage.
Les utilisateurs remettent en question le silence de l’entreprise et les emails suspects
L’incident a suscité des critiques bien au-delà de la perturbation technique elle-même. De nombreux utilisateurs ont reproché à Dashlane de maintenir sa communication publique au minimum. La société a limité sa réponse aux e-mails directs de suspension de compte et aux réponses individuelles sur les réseaux sociaux. Il n’a publié aucune déclaration publique à grande échelle sur un canal à haute visibilité.
Ce silence a aggravé les choses. Un certain nombre d'utilisateurs qui ont reçu les e-mails de suspension ont commencé à se demander si les messages étaient une tentative de phishing plutôt qu'une notification légitime de Dashlane. Le moment choisi rendait les soupçons compréhensibles. Une entreprise axée sur la sécurité qui envoie des e-mails inattendus lors d’une attaque active est exactement le genre de scénario que les mauvais acteurs tentent d’imiter.
Cependant, les e-mails ne présentaient aucun des signes avant-coureurs classiques du phishing. Ils ne contenaient aucun lien suspect, aucune pièce jointe et provenaient directement d'un domaine Dashlane vérifié. Pourtant, les e-mails affichaient un logo Dashlane obsolète, et ce petit détail a plongé certains clients dans le doute. Une communication officielle arborant une ancienne marque lors d’un événement de sécurité active a suffi à faire sourciller.
La réponse de Dashlane à cet incident met sur la table un défi familier. Un gestionnaire de mots de passe stocke l'accès à presque tous les comptes que possède un utilisateur. Lorsque cette plateforme est confrontée à une menace, une communication claire et rapide compte autant que la solution technique. Les utilisateurs n’avaient pas seulement besoin de récupérer leurs comptes. Ils avaient besoin de réponses, et Dashlane a mis du temps à les fournir publiquement.