Un 2FA vulnérable au brute force : ce que révèle l’attaque Dashlane
L’attaque par force brute contre le 2FA de Dashlane repositionne brutalement la sécurité des gestionnaires de mots de passe d’entreprise dans le radar des DSI. Entre le 3 et le 6 janvier 2024, selon le rapport d’incident publié par l’éditeur, des assaillants ont automatisé des tentatives de connexion massives en soumettant toutes les combinaisons possibles de codes numériques temporaires avant expiration, démontrant que la simple authentification par code TOTP ne suffit plus pour protéger des coffres forts contenant des données personnelles et des identifiants sensibles. Pour les entreprises qui généralisent un gestionnaire de mots de passe à leurs comptes utilisateurs, cet incident illustre concrètement comment des attaques par force brute ciblant le deuxième facteur peuvent contourner des politiques de sécurité pourtant jugées matures.
Le scénario est limpide : un attaquant dispose déjà des identifiants de base, souvent issus de violations de données, de listes d’identifiants compromis ou d’un mot de passe réutilisé sur un autre service, puis il s’attaque au code 2FA par une séquence de tentatives de connexion rapides. D’après Dashlane, moins de vingt comptes personnels ont été suspendus automatiquement et plusieurs coffres forts chiffrés ont été téléchargés avant blocage, même si le chiffrement côté client et le master mot de passe restent la dernière barrière contre l’exfiltration de données. Pour un DSI, la question n’est plus de savoir si les gestionnaires de mots de passe sont utiles, mais de vérifier si la sécurité du gestionnaire de mots de passe d’entreprise face au brute force sur le 2FA est réellement dimensionnée face à des attaques industrielles, capables de tester l’ensemble de l’espace de codes TOTP en quelques minutes dès que les contrôles de limitation sont insuffisants.
Cette attaque rappelle que des mots de passe faibles pour le master mot de passe transforment un coffre fort chiffré en simple illusion de sécurité, surtout lorsque les mêmes mots de passe comptes sont réutilisés sur plusieurs services ou partagés entre collègues. Les politiques de sécurité doivent donc encadrer la robustesse des mots de passe, la rotation des passe entreprise critiques et la surveillance des comptes utilisateurs à privilèges, sous peine de voir des passe compromis ouvrir la voie à des violations de données massives. Dans une logique de confiance zéro, la DSI doit considérer chaque gestionnaire de mots comme un composant critique de l’architecture de sécurité, au même titre qu’un annuaire Microsoft, qu’un proxy d’authentification multifacteur exposé à Internet ou qu’un service d’identité cloud centralisant les comptes utilisateurs.
Limites du TOTP et montée en puissance de FIDO2 et des passkeys
Le 2FA basé sur des codes TOTP reste une méthode d’authentification facteurs largement déployée, mais l’attaque Dashlane montre qu’il peut être soumis à des attaques force brute dès que le rythme des tentatives de connexion n’est pas strictement limité. Un code numérique court, généré toutes les trente secondes, offre un espace de recherche fini que des scripts peuvent parcourir, surtout si les facteurs d’authentification ne sont pas protégés par un blocage progressif ou un challenge additionnel. Concrètement, un code à six chiffres représente un million de combinaisons possibles, et sans mécanisme de verrouillage après quelques dizaines d’essais, un attaquant peut multiplier les tentatives sur plusieurs appareils en parallèle. Pour un RSSI, la sécurité du gestionnaire de mots de passe d’entreprise face au brute force sur le 2FA doit donc être évaluée à l’aune de ces contraintes mathématiques, et non sur la seule perception d’une authentification multifacteur rassurante.
Les méthodes d’authentification de type FIDO2 et passkeys déplacent le centre de gravité vers des facteurs d’authentification résistants à la force brute, car la clé privée ne quitte jamais l’appareil et aucune combinaison de chiffres n’est à deviner. L’authentification facteur repose alors sur une preuve cryptographique liée à un appareil de confiance, ce qui rend inopérantes les attaques par brute force sur un simple champ de code, même si l’attaquant possède déjà les identifiants de base. Dans la pratique, un attaquant ne peut pas itérer sur des codes successifs : il lui faudrait compromettre l’appareil ou le module matériel de sécurité, ce qui relève d’un tout autre niveau de menace. Pour les entreprises qui standardisent Microsoft Entra ID, l’activation des passkeys et du multifacteur MFA matériel pour les comptes utilisateurs sensibles devient un prolongement naturel de la stratégie de confiance zéro.
Dans ce contexte, les DSI doivent revoir leurs politiques de sécurité pour exiger que les gestionnaires de mots de passe supportent plusieurs méthodes d’authentification multifacteur MFA, dont FIDO2, plutôt que de se limiter à un TOTP vulnérable à la force brute. Les contrats doivent préciser les mécanismes de limitation de tentatives de connexion, les seuils de blocage et les alertes en cas d’attaques force répétées sur des comptes, y compris pour les utilisateurs disposant d’appareils mobiles multiples. À titre indicatif, de nombreux acteurs imposent un verrouillage temporaire après cinq à dix échecs consécutifs, puis un blocage prolongé au-delà d’un certain volume d’essais sur une fenêtre de temps donnée, complétés par un allongement progressif des délais entre tentatives, un contrôle de type CAPTCHA et un bridage par adresse IP ou par appareil. Cette exigence rejoint les obligations de gouvernance renforcée de la cybersécurité décrites pour les dirigeants dans le cadre de la conformité NIS2, telles qu’analysées dans l’article sur la responsabilité personnelle des dirigeants en matière de cybersécurité.
Contrats, politiques et chiffrement côté client : le triptyque à revisiter
Pour un DSI, la sécurité du gestionnaire de mots de passe d’entreprise face au brute force sur le 2FA commence dans le contrat et non dans la seule fiche produit marketing. Il faut exiger une transparence sur les politiques de limitation de tentatives de connexion, la détection d’attaques force brute et la suspension automatique des comptes utilisateurs suspects, comme l’a illustré la réaction de Dashlane avec le blocage des comptes concernés. Les clauses doivent aussi couvrir la protection des données personnelles stockées dans les coffres forts, la gestion des appareils enregistrés et la capacité à imposer des politiques de mots de passe robustes pour chaque utilisateur, avec des indicateurs chiffrés de complexité minimale et de durée maximale de validité.
Le chiffrement côté client reste une ligne de défense essentielle, mais il s’effondre si le master mot de passe est faible, réutilisé ou partagé entre plusieurs passe comptes critiques. Les politiques internes doivent donc bannir les mots de passe faibles, imposer des exigences de complexité et de longueur pour chaque passe entreprise sensible, et prévoir des contrôles réguliers de détection de passe compromis via des services de veille sur les violations de données. Dans cette optique, la mise en œuvre d’une architecture de confiance zéro et l’orchestration de plusieurs méthodes d’authentification sur l’ensemble des gestionnaires de mots deviennent un chantier d’architecture à part entière, au même titre que les projets décrits dans l’analyse sur les architectures multi agents et la transformation du rôle du DSI.
Les DSI doivent enfin aligner leurs politiques de sécurité des gestionnaires de mots de passe avec les exigences réglementaires et les guides de conformité sectoriels, notamment pour les entités essentielles soumises à NIS2. Un guide pragmatique comme celui consacré à la mise en conformité NIS2 des entités essentielles et importantes peut servir de référence pour intégrer la gestion des identifiants, l’authentification multifacteur et la protection des données personnelles dans le registre des risques. La sécurité du gestionnaire de mots de passe d’entreprise face au brute force sur le 2FA devient alors un indicateur concret de maturité cyber, au croisement des identifiants, des comptes utilisateurs, des méthodes d’authentification et des données critiques que les entreprises doivent protéger sur l’ensemble de leurs appareils et de leurs environnements.
Actions prioritaires pour le DSI : (1) vérifier les paramètres de limitation de tentatives de connexion, de blocage progressif et de détection d’attaques automatisées sur le gestionnaire de mots de passe ; (2) imposer des master mots de passe longs et uniques, complétés par FIDO2 ou des passkeys pour les comptes sensibles ; (3) intégrer la surveillance des attaques par force brute et des identifiants compromis dans le SOC et le registre de risques NIS2.