Cet article est également disponible en : Anglais, Allemand, Espagnol

Pourquoi Dashlane ne vous demandera jamais d’identifiants dans un e-mail ? (parce qu’il s’agit là d’une technique d’hameçonnage)

Cet article est également disponible en : Anglais, Allemand, Espagnol
""

Commençons par un rappel du contexte.

Tout le monde a entendu parler de l’hameçonnage, peut-être même de nous. Et toute personne ayant une adresse électronique active (ou un téléphone portable, ou un téléphone fixe) a été la cible d’une campagne d’hameçonnage. Même si vous pensez que vous n’en avez pas fait l’objet, vous l’avez été. En effet, alors que d’innombrables personnes tentent continuellement de tromper les imprudents pour les amener à divulguer des informations importantes, les équipes de sécurité travaillent 24 heures sur 24 pour identifier et stopper ces attaques. Une grande partie de ce travail passe inaperçue :

  • Les fournisseurs d’e-mails identifient et bloquent constamment les comptes suspects.
  • Les sociétés d’hébergement de domaines ont des départements entiers dont la mission est d’empêcher les mauvais acteurs d’utiliser leurs services (et de les faire fermer lorsqu’ils le font).
  • Les filtres anti-spam isolent les messages suspects.
  • Les entreprises analysent les pièces jointes et les liens pour assurer la sécurité de leurs systèmes critiques.

Malheureusement, le coût d’une campagne d’hameçonnage est si faible, et les récompenses potentielles si élevées, que l’hameçonnage fait partie du paysage de nos vies numériques. Toutefois, il existe une défense qu’aucun pirate ne peut surmonter : l’individu qui refuse de réagir à son message. Si vous ne répondez pas un appel ayant l’allure d’une arnaque, vous ne serez pas victime de (cette) arnaque. Si vous ne cliquez pas sur un e-mail contenant uniquement un lien envoyé par le colocataire de l’université auquel vous n’avez pas parlé depuis trois ans, le virus ne s’installera pas sur votre ordinateur.

Mais ce sont là des exemples évidents : la plupart des campagnes d’hameçonnage sont mieux ficelées. Si beaucoup d’entre elles visent les entreprises (si un e-mail d’hameçonnage viole les pare-feux de l’entreprise et qu’un seul employé clique dessus, l’ensemble du réseau de l’entreprise peut être compromis), certaines visent les particuliers. Très souvent, ces messages sont déguisés en e-mails d’une entreprise demandant aux utilisateurs de « vérifier les informations de leur compte » ou quelque chose de similaire. Ils contiennent généralement un lien vers une page qui ressemble énormément (ou est identique) à la page de connexion de l’entreprise qui semble avoir envoyé l’e-mail. Mais ce n’est pas le cas. Il s’agit d’une copie conçue pour vous inciter à remettre volontairement vos identifiants à des criminels qui exploiteront eux-mêmes ces informations, les vendront sur le dark Web, ou les deux.

Casting des utilisateurs de Dashlane

Les campagnes d’hameçonnage visent généralement des cibles de « grande valeur ». Par exemple, les identifiants bancaires ont évidemment plus de valeur que ceux d’un service de streaming. Pour des raisons évidentes, les informations d’identification d’un gestionnaire de mots de passe sont d’une très grande valeur. Avec un seul identifiant, un hacker peut en principe accéder à tous les mots de passe de la personne/de l’entité ciblée. C’est pourquoi nous (et la grande majorité des sites qui autorisent l’accès à des informations sensibles de quelque nature que ce soit) utilisons la vérification des e-mails, des appareils authentifiés et d’autres moyens pour nous assurer que la personne qui demande l’accès à un compte particulier est autorisée à le faire. Même si un hacker obtenait votre identifiant Dashlane et votre mot de passe principal, il devrait également avoir accès à votre boîte de réception pour accéder aux informations que vous stockez chez nous.

Le 5 novembre 2021, à l’aube, notre service d’assistance aux utilisateurs a commencé à recevoir des rapports concernant un e-mail que « nous » avions envoyé et qui demandait aux utilisateurs de vérifier leurs informations d’identification pour « éviter la désactivation de certaines fonctions » :

Capture d

Il s’agit d’un e-mail d’hameçonnage assez sophistiqué Les personnes à l’origine de ce projet ont copié les graphiques de notre site et ont imité le ton de nos communications avec les clients. L’utilisation du terme « informations » est en fait le seul signal d’alarme évident dans le message lui-même. Les personnes ayant cliqué sur ce bouton ont été redirigées (du moins au début – après que nous ayons commencé à bloquer activement ces efforts, les hackers ont été frustrés et ont commencé à rediriger les gens vers un site pornographique) vers la page suivante, du moins pour les personnes qui étaient en France :

Une capture d'écran de la fausse page créée par les hackers pour se faire passer pour un site Web de Dashlane.

Là encore, il s’agit d’une bonne imitation de notre site actuel, et un rapide coup d’œil à l’URL montre qu’elle provient d’une adresse qui semble au moins nous être associée : app.auth-dashlane.com. Mais nous ne sommes pas propriétaires de ce site, ni de la douzaine de sites contenant le mot « Dashlane » qui ont été enregistrés peu avant l’envoi de ces e-mails. Et il n’existe aucun moyen pour nous d’acheter à titre préventif tous les noms de domaine comprenant « Dashlane » ou d’empêcher les autres de le faire. Ce que nous faisons, et ce qui nous a mis la puce à l’oreille, c’est que nous surveillons tout enregistrement de nom de domaine comprenant « Dashlane ».

Alors, qui a reçu cet e-mail ? Pour l’instant, seules quelques dizaines d’utilisateurs de Dashlane ont signalé avoir reçu cette communication ou des communications similaires, et rien n’indique que des comptes ont été compromis. Cela s’explique en partie par le fait que, comme de nombreuses campagnes d’hameçonnage, elle a commencé par une liste aléatoire d’e-mails, et non par une collection d’utilisateurs connus de Dashlane. Il n’y a pas eu de violation ayant permis aux hackers d’obtenir les e-mails ; ils passaient au crible de grandes listes d’adresses aléatoires en espérant tomber sur des utilisateurs de Dashlane.

Nous avons également été informés très tôt de l’attaque et avons immédiatement contacté les bureaux d’enregistrement de noms de domaine, les sociétés d’hébergement et les autres services utilisés par les hackers pour les fermer. Cependant, il existe des centaines de fournisseurs de services de ce type, et cela peut être un peu comme jouer au « jeu du chat et de la souris ». Nous avons donc également publié une notification de l’événement sur notre page d’état et informé notre équipe d’assistance à la clientèle afin que les agents soient en mesure de conseiller les utilisateurs de Dashlane qui nous contactent. Bien sûr, nous continuons à taper sur toutes les taupes qui apparaissent et, à l’heure où nous écrivons ces lignes, l’attaque semble avoir largement diminué. Avec un peu de chance, les hackers finiront par se tourner vers une autre cible, mais il y a toujours d’autres hackers prêts à attaquer à leur tour.

Garder les hameçonneurs à distance

Comme nous l’avons fait dans le cas présent, nous continuerons à surveiller les activités suspectes qui pourraient affecter Dashlane et nos utilisateurs, et nous prendrons des mesures radicales pour mettre fin à tout incident dont nous aurons connaissance. Nous continuons également à investir dans des efforts visant à rendre notre service plus sûr, plus sécurisé et plus résilient. Mais, en matière d’hameçonnage, la chose la plus importante à faire est de ne pas réagir. Même si l’intégrité de votre compte Dashlane, de votre compte bancaire ou de tout autre compte est protégée par une double authentification ou d’autres moyens, la dernière chose que vous souhaitez c’est permettre aux intrus d’avoir accès à vos informations. Si presque tous les e-mails que vous recevez de votre banque, de votre opérateur de téléphonie mobile et d’innombrables autres entreprises indiquent quelque chose comme « Nous ne vous demanderons jamais votre mot de passe ou vos informations de compte dans un e-mail », c’est pour une bonne raison. Et elle est simple : si vous voulez éviter que vos clients ne soient hameçonnés, n’agissez pas comme un hameçonneur. Alors, s’il vous plaît, rappelez-vous ceci :

Dashlane ne vous demandera jamais vos informations d’identification ou de compte dans un e-mail.

La seule façon de saisir votre mot de passe principal ou vos informations de connexion est de vous rendre sur la page ou l’écran de connexion de nos services que vous avez vous-même consultés. Dans certains cas, nos agents peuvent demander certaines informations (comme une adresse électronique ou les quatre derniers chiffres d’une carte de crédit) en réponse à une demande de l’utilisateur adressée à notre service d’assistance, mais personne chez Dashlane ne vous demandera jamais votre mot de passe principal.

Vous pouvez en savoir plus sur la manière dont un gestionnaire de mots de passe vous aide à éviter l’hameçonnage.