Passer au contenu principal

Ce que vous devez savoir sur l’architecture de sécurité brevetée de Dashlane

|W. Perry Wortman

La sécurité a toujours été un élément très important de notre équipe d’ingénierie chez Dashlane. En tant que gestionnaire de mots de passe de premier plan, Dashlane est responsable de la sécurité des données de millions d’utilisateurs. Afin de protéger les données de nos utilisateurs, nous prenons en considération la sécurité à chaque étape du développement de nos logiciels, y compris pour la configuration de notre architecture, du codage et des revues de code, des tests et des audits de sécurité. La sécurité est également un facteur important dans la spécification, la conception, la communication et la documentation de nos produits.

La façon dont nous avons conçu notre architecture de sécurité

Lorsque nous avons commencé à développer le gestionnaire de mots de passe de Dashlane, nous avons dû configurer la façon dont les données de nos utilisateurs seraient protégées. Nous avons commencé par énumérer toutes les caractéristiques d’un bon modèle de sécurité. Voici les trois critères les plus importants que nous avons déterminés :

  1. Simple : un aspect essentiel de toute architecture de sécurité est sa simplicité. Une architecture de sécurité simple est plus facile à examiner, tant pour les développeurs que pour les chercheurs en sécurité. Elle est également plus facile à comprendre à l’échelle mondiale et permet aux développeurs de la modifier tout en éliminant les angles morts.
  2. Ne pas se fier à quoi que ce soit ou à qui que ce soit : nous pensons qu’une bonne architecture de sécurité ne devrait jamais se fier à un serveur, à un code ou à un utilisateur avec lequel elle interagit, y compris les serveurs de Dashlane. Même si nous faisons tout notre possible pour assurer la sécurité de nos serveurs, nous travaillons toujours en tenant compte de l’hypothèse que nos serveurs puissent devenir la prochaine cible d’un cybercriminel, et ce, à tout moment. Nos choix en matière d’architecture doivent empêcher qu’un tel événement, aussi peu probable qu’il soit, ne puisse rompre notre modèle de sécurité.
  3. Résilient aux attaques courantes et avérées : des failles de sécurité se produisent tous les jours. Un bon modèle de sécurité résiste naturellement aux attaques et aux failles courantes, telles que le vol et la fuite de noms d’utilisateur et de hachage de mots de passe. De plus, la simplicité du modèle de sécurité permet à l’équipe de sécurité mondiale de Dashlane de surveiller en permanence les attaques et les vulnérabilités récentes et de s’assurer que l’architecture de Dashlane est protégée face à tout nouvel exploit.

Depuis le premier jour, nous avons configuré notre modèle de sécurité pour répondre à tous ces critères, voire à les surpasser. En mars 2012, nous avons soumis un brevet de sécurité à l’Office des brevets et des marques des États-Unis (USPTO) sous le titre « Sauvegarde et synchronisation des données dans le cloud avec des clés de stockage et d’accès locales ». Pendant cette période, nous avons échangé avec l’USPTO pour moduler nos revendications initiales et notre description, afin de nous assurer qu’elle prend en compte les dernières technologies de pointe et qui ne peuvent pas être reproduites. Cela a abouti à l’attribution d’un brevet en février 2016.

Voici un bref aperçu de notre technologie brevetée, qui fonctionne en séparant le processus d’authentification d’un utilisateur de son processus de chiffrement de données.

En savoir plus sur la façon dont Dashlane accorde la priorité à la sécurité pour protéger vos données.

Processus de chiffrement des données utilisateur

L’algorithme utilisé pour chiffrer les données d’un utilisateur est très simple et utilise des pratiques standard courantes. À partir du mot de passe Maître d’un utilisateur, nous déterminons une clé de chiffrement à l’aide d’Argon2d (Argon2 est une fonction de dérivation de clé de pointe). Ensuite, nous utilisons l’AES-256 pour chiffrer les mots de passe, les informations de paiement et les données personnelles d’un utilisateur qui sont stockées dans Dashlane. Toutes les données stockées sont toujours chiffrées en une chaîne indéchiffrable de lettres, de chiffres et de symboles aléatoires, qui est stockée localement et sur les serveurs de Dashlane à des fins de synchronisation. Cependant, et pour votre protection et la nôtre, nous ne stockons jamais votre mot de passe Maître ou aucun de ses dérivés sur nos serveurs, et ce, à aucun moment.

Processus d’authentification utilisateur

L’authentification utilisateur est requise en plus du chiffrement des données d’un utilisateur. Par exemple, si je me connecte à Dashlane pour la première fois sur un nouvel ordinateur, je dois avoir un moyen de prouver aux serveurs de Dashlane que je suis Guillaume Maron, afin que les serveurs de Dashlane puissent me fournir mes données chiffrées.

Étant donné que de nombreuses cyberattaques ciblent les hachages de mots de passe des utilisateurs, nous ne voulions pas nous fier aux hachages de mots de passe Maître des utilisateurs pour notre processus d’authentification. Au lieu de cela, lorsqu’un utilisateur se connecte à Dashlane pour la première fois sur un nouvel appareil, il est toujours invité à saisir un mot de passe unique (OTP) envoyé par e-mail. Au cours de cette première connexion, une clé de périphérique utilisateur est générée et envoyée aux serveurs de Dashlane pour établir un lien d’authentification fiable. Ainsi, pour accéder aux données d’un utilisateur, un pirate devrait posséder le mot de passe Maître de l’utilisateur et avoir également accès à l’un de ses appareils ou à son e-mail. Dashlane prend également en charge la double authentification (2FA) au lieu d’utiliser l’OTP par e-mail.


Depuis ce premier brevet, nous avons poursuivi nos innovations et avons investi continuellement dans l’amélioration de la sécurité de Dashlane tout en maintenant nos principes de sécurité fondamentaux à jour.

Si vous voulez en savoir plus, n’hésitez pas à consulter notre livre blanc sur la sécurité ou à nous contacter à l’adresse security@dashlane.com.

Inscrivez-vous pour connaître toute l'actualité de Dashlane