Vent de panique chez Dashlane ? Voici ce qu’il s’est réellement passé chez le gestionnaire de mots de passe français

Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

Tout commence le dimanche 31 mai 2026. Des utilisateurs de Dashlane reçoivent des notifications par mail leur signalant des tentatives de connexion depuis des pays étrangers et des appareils qu’ils ne reconnaissent pas. Certains de ces messages contiennent des codes de vérification permettant d’enregistrer un nouvel appareil sur le compte, sans que personne ne l’ait demandé.

Sur Reddit, la confusion se répand rapidement. Les premières suspicions vont vers du phishing. Mais les mails sont bien réels, envoyés par Dashlane lui-même. Pire : plusieurs personnes constatent que leur compte a été suspendu, les empêchant d’accéder à leurs mots de passe. Les fils de discussion se multiplient, les inquiétudes aussi.

Dashlane prend rapidement la parole sur Reddit et sur X, indiquant que ses ingénieurs travaillent activement à la résolution du problème, et déconseille dans un premier temps de modifier ou de réinitialiser son mot de passe maître. Le 1er juin, l’entreprise publie un avis de sécurité officiel sur son site et déclare l’incident résolu. Les comptes suspendus ont été réactivés. Sur les forums, certains utilisateurs signalent toutefois encore des difficultés de connexion.

Dashlane has published a Security Advisory and customer FAQ with additional details of the brute force attack, investigation status, impact to user accounts, and steps we’ve taken to protect customers. There is no evidence of any impact to Dashlane’s internal system or services.…

La stratégie des hackers repose sur une vaste campagne d’attaque par force brute. Dans ce cas précis, les attaquants ne cherchaient pas à deviner les mots de passe maîtres des utilisateurs, mais plutôt les codes de double authentification (2FA).

L’objectif était donc de contourner cette couche de sécurité supplémentaire pour parvenir à enregistrer un appareil contrôlé par les pirates sur le compte d’une victime, ce qui leur aurait donné accès au coffre-fort et à tous les identifiants qu’il contient.

Face au volume massif de tentatives, les systèmes de sécurité automatiques de Dashlane ont réagi comme prévu : ils ont verrouillé les comptes ciblés pour empêcher l’attaque d’aboutir. C’est ce verrouillage qui a provoqué les exclusions soudaines observées par de nombreux utilisateurs.

Dashlane précise dans son avis officiel que les systèmes internes de l’entreprise n’ont p