Cet article est également disponible en : Anglais, Allemand

Tout savoir sur la sécurité de l’extension Web

Cet article est également disponible en : Anglais, Allemand
Champs de formulaire sécurisés dans le navigateur

Il y a quelques mois, nous avons partagé quelques informations sur la sécurité de notre extension Web en expliquant notre approche de la sécurité pour notre plateforme Web. Dans cet article, nous irons un peu plus loin. Nous souhaitons mettre en évidence le fait que notre expérience Web est bien plus qu’une application Web. Nous passerons en revue quelques scénarios de risque que nous avons évalués lors de la conception de notre expérience Web.

Application Web vs extension Web

Rafraîchissons-nous la mémoire !

  • Les sites Web et les applications Web vous transmettent du contenu (fichiers HTML, images, fichiers JavaScript, etc.) par le biais d’un serveur. Une application Web est un type de site Web doté de fonctionnalités supplémentaires et d’éléments interactifs. Vous pouvez accéder à l’application Web de Dashlane en saisissant app.dashlane.com dans n’importe quel navigateur. Vous aurez ainsi accès à notre coffre-fort, mais l’expérience Dashlane ne sera pas complète et la saisie automatique ne fonctionnera pas.
  • À l’inverse, une extension de navigateur est une application que vous installez dans le navigateur de votre choix (Chrome, Firefox ou encore Edge). Les extensions de navigateur ressemblent beaucoup aux applications natives, car elles fonctionnent localement sans besoin d’accéder à un serveur. Si l’URL ressemble à chrome-extension://fdjamakpfbbddfjaooikfcpapjohcfmg/credentials, c’est que vous utilisez l’extension.

Nous vous recommandons d’installer l’extension Web de Dashlane pour pouvoir profiter pleinement de toute l’expérience proposée par Dashlane : saisie automatique, fenêtres contextuelles pour la création de mots de passe, coffre-fort sécurisé, etc.

C’est à la fois le moyen le plus pratique et le plus sécurisé d’utiliser Dashlane sur un ordinateur de bureau ou portable.

À présent, voyons pourquoi et comment nous évaluons les risques potentiels d’attaque.

Scénarios d’attaque

Le risque zéro n’existe pas. C’est pourquoi les entreprises comme Dashlane doivent évaluer les menaces et les scénarios d’attaque en permanence.

1. Falsification du code

En plus de proposer la saisie automatique, l’extension est un composant principal de notre expérience Web, car elle fournit une couche supplémentaire de sécurité. Grâce à l’extension, nous avons la garantie que le code utilisé par le client est correct et qu’il n’a pas été trafiqué par des acteurs malveillants. Dans le cadre de notre cycle de développement, nous signons l’extension avant de la soumettre à la boutique du navigateur, pour confirmer que Dashlane est bien l’éditeur de l’extension. Toute mise à jour doit passer par le mécanisme de mise à jour du navigateur et nous bénéficions aussi des processus d’examen et d’approbation du fournisseur des boutiques, ce qui signifie plus de sécurité pour nos clients. Cela garantit l’intégrité et l’origine de l’extension Dashlane et empêche les hackers de pirater la connexion et de pouvoir, entre autres, afficher une version frauduleuse de notre application Web.

2. Vol de mémoire (données stockées)

L’extension fonctionne dans un environnement isolé, qu’on appelle sandbox. En informatique, un sandbox est un mécanisme de sécurité permettant à un programme de fonctionner sans interagir avec les autres processus en cours sur l’appareil. Dans notre cas, aucun autre site Web ou extension ne peut accéder à vos données Dashlane. Mais n’oubliez pas que si quelqu’un a accès à votre appareil physique et réussit à se connecter à votre système d’exploitation, cette personne pourrait accéder à tout ce qui se trouve sur votre appareil. (Ceci est vrai pour tous les produits de sécurité, personne ne peut vous aider si vous ne fermez pas votre porte à clé !) Nous vous conseillons de protéger votre appareil par un mot de passe et la biométrie. Vous pouvez également activer la biométrie pour protéger l’accès à votre extension Dashlane.

3. Tromper le moteur de saisie automatique dans votre navigateur

Cette attaque de phishing a lieu lorsqu’une personne saisit malencontreusement des informations dans un formulaire en ligne, sur un site non vérifié et que son outil de saisie automatique (votre navigateur ou gestionnaire de mots de passe) saisit bien plus d’informations qu’il ne devrait. Sachez que Dashlane ne remplira jamais automatiquement vos informations sur un site Web si l’URL dans votre identifiant enregistré est différente de celle du site en question. De plus, pour ajouter une couche de sécurité supplémentaire, par défaut, nous vous demandons toujours de saisir votre mot de passe Maître avant de renseigner automatiquement des informations de paiement. Nous travaillons sans relâche à améliorer les dispositifs de protection autour de notre moteur de saisie automatique pour rendre la vie dure aux pirates. Si vous souhaitez en savoir plus sur le phishing ou comment sensibiliser les utilisateurs dans votre entreprise, consultez notre Guide sommaire du phishing ou les ressources publiées sur notre blog.

4. Corruption via des dépendances

Quasiment tous les produits technologiques se basent sur du code interne, des outils tiers et des bibliothèques de code externe provenant de la communauté open source. Un acteur malveillant pourrait très bien insérer du code corrompu dans l’une de ces bibliothèques. C’est pourquoi nous inspectons fréquemment toutes les dépendances de notre extension. Nous nous assurons de nous baser uniquement sur des bibliothèques de la communauté très bien entretenues et examinées régulièrement et de manière approfondie. Sachez également que les attaques basées sur des injections DLL (Dynamic-Link Library) ne pourraient pas directement cibler l’extension Dashlane, parce que l’extension n’est pas un fichier exécutable (comme une application de bureau) et qu’elle est contenue en sandbox dans votre navigateur. Aucune bibliothèque n’est chargée de façon dynamique.

5. Piratage de Dashlane

Imaginons le pire des scénarios, le piratage de l’entreprise Dashlane. Cette menace pourrait avoir lieu de différentes manières. Dans la plupart des cas, l’attaque n’aurait pas d’impact sur vous en tant que client, grâce à notre architecture à divulgation nulle de connaissance. Vous seul(e) connaissez votre mot de passe Maître, qui est la clé pour accéder à votre coffre-fort. Personne d’autre ne le connaît, les pirates ne pourraient donc pas accéder à votre coffre-fort.

Une autre forme d’attaque pourrait cibler l’infrastructure de développement chez Dashlane, dans une attaque similaire à celle ayant impacté SolarWinds, qui vise à planter du code malveillant ou une porte dérobée dans l’application Dashlane. Ce genre d’attaque est critique et nous faisons tout notre possible pour nous en protéger : application de bonnes pratiques au sein du développement logiciel, politiques qui accordent le minimum d’autorisation possible (principe du moindre privilège), approbations multiples pour les changements de code… ainsi que l’utilisation des produits Dashlane pour protéger les mots de passe de notre entreprise et les conserver dans les mains d’un petit nombre d’employés ! Cet article de blog explique comment nous évaluons les menaces contre Dashlane.

Garantir le niveau le plus élevé de protection pour nos clients est un effort de tous les instants. Nous devons rester sur nos gardes dans tout ce que nous faisons, de la conception technique de nouvelles fonctionnalités à la gestion de notre infrastructure serveur. Si vous souhaitez en savoir plus, veuillez consulter notre livre blanc sur la sécurité.