Initialement publié le 20 janvier 2023
Les graves atteintes à la sécurité poussent beaucoup de gens à vouloir mieux comprendre la qualité et la robustesse de leurs outils de sécurité en ligne. Chez Dashlane, notre approche de sécurité unique se reflète dans notre technologie et notre culture. Pour nous, les raccourcis n'ont pas leur place. C'est pourquoi nous prenons toutes nos décisions en pensant d'abord à votre sécurité. Et cela commence par le chiffrement.
Le chiffrement de Dashlane protège TOUTES vos données
Notre Livre blanc sur la sécurité explique les aspects techniques, mais voici un résumé de ce que vous devez savoir concernant le chiffrement des données des clients.
- Nous comptons sur des primitives cryptographiques de qualité pour gérer le chiffrement des coffres-forts. Il s'agit d'un domaine où il est essentiel de tirer parti de solutions fiables et éprouvées qui ont été examinées et approuvées dans l'industrie.
- Nous utilisons Argon2, le gagnant du Password Hashing Competition(concours de hachage de mots de passe) pour générer une clé AES (standard de chiffrement avancé) de 256 bits pour le chiffrement et le déchiffrement des données personnelles d'une personne sur son appareil.
- Pour accéder aux données d'une personne, il faut son mot de passe Maître, qui n'est connu que de cette personne et qui n'est jamais stocké sur les serveurs de Dashlane ou transmis sur Internet. Le personnel d'une entreprise utilisant l'authentification unique (SSO) avec Dashlane n'a pas besoin de créer un mot de passe Maître. Cependant, le résultat final reste le même : nous protégeons toutes vos données.
Découvrez pourquoi vous devez toujours jumeler la SSO avec un gestionnaire de mots de passe pour une couche de sécurité supplémentaire.
Le principe d'architecture à la base de notre sécurité est appelé le système « zero-knowledge ». Cela signifie que personne - pas même Dashlane - n'a accès à vos données personnelles.
Vos identifiants et vos données personnelles sont toujours chiffrés, ce qui les dissimule derrière un enchevêtrement de données impossibles à déchiffrer. Personne ne peut voir vos identifiants et données personnelles sans « déchiffrer » ou déverrouiller vos données. La seule façon de déchiffrer vos informations est d'utiliser votre mot de passe Maître. Puisque personne d'autre que vous n'a connaissance de votre mot de passe Maître (nous ne le voyons jamais), vous seul avez accès à vos données personnelles. Pour les clients qui utilisent la SSO, nous maintenons la même approche « zero-knowledge ».
Nous ne nous fions jamais à un serveur, un code ou une personne ayant accès aux données des clients. Mais le « zero-knowledge », bien qu'important, est une norme assez courante dans le monde de la sécurité. Ce qui distingue Dashlane, c'est la façon par laquelle nous nous appuyons sur cette approche.
Consultez ces questions de sécurité fréquemment posées pour en savoir plus. Ou plongez dans l'architecture de sécurité de Dashlane avec notre Livre blanc sur la sécurité.
La sécurité n'est pas seulement une question d'outils et de logiciels coûteux : c'est aussi une question de personnes, et les employés de Dashlane sont passionnés par la confidentialité. La confidentialité des données est au cœur de notre produit et nous avons élaboré Dashlane en partant du principe que vos mots de passe et données devraient toujours être sécurisés, confidentiels et accessibles à vous uniquement. Pour vivre ces valeurs et maintenir la meilleure culture de sécurité, nous prenons des mesures cohérentes pour atténuer le risque d'attaques potentielles contre Dashlane, notamment :
- Identifier l'exploitation potentielle des vulnérabilités des applications : notre processus de développement de logiciel vise à minimiser le risque de vulnérabilités via un examen de code, des tests automatisés et des grilles de qualité. Cependant, nous savons qu'aucun code n'est parfait ; il y a toujours des bugs et des problèmes qu'un acteur malveillant pourrait essayer d'utiliser pour accéder aux données des clients. Les chercheurs en sécurité constituent donc un autre élément important de notre solide fondation en matière de sécurité. Notre Programme bug bounty incite les pirates à chapeau blanc (les bons) à rechercher des vulnérabilités et à nous aider à résoudre tous les problèmes avant que des criminels ne mettent la main dessus.
- Bloquer l'accès à nos serveurs : le durcissement de la sécurité côté serveur nous permet de tirer parti des bonnes pratiques et des normes de l'industrie telles que PCI-DSS ou SOC2. Nous bénéficions de la sécurité intégrée d'AWS (l'un des services d'hébergement Cloud les plus respectés et sûrs), ainsi que de nombreuses années de bonnes pratiques et de leçons au niveau de la sécurité de serveur au sein de la communauté tech. Dashlane c'est avant tout mettre en œuvre notre concept de « zero-knowledge » et de veiller à ce que nous respections ces bonnes pratiques.
- Empêcher que nos systèmes internes soient compromis : La compromission des systèmes internes est un risque critique, comme en témoignent les incidents de sécurité passés comme l'attaque de la chaîne d'approvisionnement Solarwind. Dashlane s'efforce d'anticiper ces incidents en évaluant les scénarios impliquant les niveaux d'accès, la sensibilité du contenu et le degré d'atteinte à la vie privée. Nous travaillons sur un modèle de confiance zéro, ce qui signifie que nous ne faisons jamais confiance à qui que ce soit lorsqu'il s'agit de donner accès à nos serveurs. Nous appliquons également des pratiques de sécurité informatique telles que l'authentification multifacteur sur tous les systèmes, ainsi que la ségrégation des rôles, le droit d'accès minimal et une surveillance approfondie.
- Tenir compte du facteur humain : nous faisons confiance à nos employés, mais pour leur propre sécurité, nous devons également nous assurer que s'il arrivait qu'un employé soit corrompu, menacé ou devienne véreux, il ne pourrait pas nuire à nos clients ou à notre entreprise. L'un de nos systèmes les plus sensibles est notre usine de logiciels. Nous avons pris des mesures pour nous assurer que nous disposons d'un pipeline de diffusion sécurisé avec une traçabilité complète. L'approbation de plusieurs ingénieurs est obligatoire pour pouvoir expédier un code. L'objectif ici est de s'assurer qu'un employé ne peut pas envoyer une version corrompue de Dashlane.
Beaucoup de nos clients sont passés à Dashlane après avoir essayé d'autres solutions de gestion de mots de passe et ont été heureux de partager leurs expériences. Apprenez-en plus sur des organisations telles que Consero Global, VillageReach et Mercy Medical.
Notre culture de la sécurité vise non seulement à préserver la sécurité de vos données, mais aussi à favoriser un environnement propice à l'innovation. Et nous sommes constamment à la recherche de moyens de pointe pour élargir et renforcer la sécurité de nos produits.
En 2018, nous avons vu la puissance de calcul augmenter et avons migré notre fonction de dérivation clé de PBKDF2 à Argon2 pour nous assurer que nous offrions la solution la plus à jour. Argon2 est optimisé pour résister aux attaques par craquage du GPU. Non seulement nous avons fait d'Argon2 la solution par défaut pour nos nouveaux clients, mais nous avons également fait en sorte de faire migrer les clients existants afin qu'ils bénéficient de la solution la plus récente et la plus sûre.
Les efforts que nous déployons pour entrer dans une ère sans mot de passe sont un autre exemple de notre capacité à prévoir l'avenir. La dernière technologie d'authentification utilisant des clés de passe a le potentiel de réduire considérablement le risque d'avoir des mots de passe faibles. Nous avons déjà annoncé la prise en charge des clés d'accès dans Dashlane et avons été le premier gestionnaire de mots de passe à proposer une solution de clé d'accès intégrée au navigateur. Cela renforce la sécurité et rend les choses plus faciles. Bientôt, vous pourrez vous connecter à votre gestionnaire de mots de passe sans mot de passe.
Que promet la suite ? Nous sommes déjà en train de considérer comment la cryptographie post-quantique s'intègre dans l'avenir de Dashlane. Nous utilisons de nouvelles technologies de calcul pour rendre des intégrations d'authentification unique (SSO) plus faciles et plus sûres. Ces avancées, et bien d'autres encore, contribuent à réduire les risques de sécurité tout en rendant plus facile que jamais la sécurisation de vos données.
Examinez de plus près notre Centre de confidentialité pour découvrir comment Dashlane utilise les cookies et les données. Nous ne vendons jamais les données personnelles des utilisateurs et vous avez toujours le droit de choisir la manière dont les cookies et autres informations sont utilisés.
Face à la multiplication des atteintes à la sécurité des données, il est important de savoir dans quelle mesure vos outils peuvent accéder à vos données, les utiliser et les stocker. Chez Dashlane, la sécurité de nos clients est notre priorité numéro un. Nous croyons que la création d'un produit et le respect d'un processus strict en accord avec une sécurité de premier ordre est essentielle à ce succès.
Nous ne nous attendons pas à ce que vous nous croyiez sur parole. Alors que nous continuons à travailler chaque jour pour protéger vos données personnelles, nous vous encourageons à nous imposer les normes les plus strictes en matière de sécurité et à continuer de poser des questions. Nous tenons à vous apporter les réponses et le soutien dont vous avez besoin pour vous rassurer quant à la sécurité de vos données.
—Frederic Rivain, CTO
Si votre organisation est à la recherche d'une solution de gestion des mots de passe sécurisée, vous pouvez essayer Dashlane gratuitement dès aujourd'hui : il ne faut que 3 minutes pour commencer et nous avons un programme de licence de site qui peut vous aider à économiser.
Et si vous voulez essayer Dashlane pour mieux gérer votre cybersécurité personnelle, nous nous en occupons.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
Nous vous remercions ! Vous êtes abonné. Soyez à l'affût des mises à jour envoyées directement à votre boîte de réception.
