Translate

Selon les résultats de Dashlane, un internaute possède en moyenne 200 comptes en ligne nécessitant des mots de passe, et l’éditeur s’attend à ce que ce total soit multiplié par 2 au cours des 5 prochaines années. On vous le répète tous les jours : vos mots de passe sont l'élément central de votre vie numérique. Il existe deux façons de les protéger. La première nécessite une bonne discipline et d'appliquer des techniques pour tous les retenir de tête. La seconde consiste à opter pour un gestionnaire de mots de passe qui promet de faire tout cela à votre place.

Protection des données utilisateur dans Dashlane

FREE: Les nouveaux utilisateurs de la version gratuite ont désormais le droit d'enregistrer jusqu'à 50 mots de passe par appareil.  https://www.dashlane.com

1. Principes généraux de sécurité
une. Protection des données utilisateur dans Dashlane
La protection des données utilisateur dans Dashlane repose sur 4 secrets distincts:
• Le mot de passe utilisateur principal
o Il n’est jamais stocké sur les serveurs Dashlane, ni aucun de ses dérivés (y compris
hash)
o Par défaut, il n’est stocké localement sur le disque d’aucun des périphériques de l’utilisateur; nous
utilisez-le simplement pour (décoder) les fichiers locaux contenant les données de l'utilisateur
o Il est stocké localement à la demande de l'utilisateur lors de l'activation de la fonctionnalité «Remember my
Mot de passe maître"
o De plus, le mot de passe principal de l’utilisateur ne transmet jamais par Internet, ni
faire n'importe lequel de ses dérivés (y compris les hachages)
• Dans certains cas (stockage local), nous utilisons une clé intermédiaire (aléatoire sur 32 octets).
crypté avec le mot de passe principal dérivé.
• Une clé de périphérique utilisateur unique pour chaque périphérique activé par un utilisateur
o Auto généré pour chaque appareil
o Utilisé pour l'authentification
• Une clé secrète Dashlane
o Utilisé pour sécuriser la communication entre l’application Dashlane et le
plugins de navigateur.
b. Accès local aux données utilisateur
L’accès aux données de l’utilisateur nécessite l’utilisation du mot de passe principal de l’utilisateur, qui est uniquement connu du
utilisateur. Il est utilisé pour générer la clé symétrique AES 256 bits permettant de chiffrer et de déchiffrer les données de l’utilisateur.
données personnelles sur le périphérique de l'utilisateur.
Le chiffrement et le déchiffrement des données de l’utilisateur sont effectués à l’aide d’OpenSSL:
• Un sel de 32 octets est généré à l’aide de la fonction OpenSSL RAND_bytes (chiffrement) ou de la lecture.
à partir du fichier AES (déchiffrement).
• Le mot de passe principal utilisateur est utilisé, avec le sel, pour générer la clé AES 256 bits qui
être utilisé pour (déc) chiffrer. Nous utilisons Argon2d, par défaut, avec les paramètres suivants:
itérations = 3, mémoire = 32Mo, parallélisation = 2. Nous prenons également en charge PBKDF2-SHA2 avec
200 000 itérations.
• Le vecteur d'initialisation de 16 octets est choisi de manière aléatoire.
• Ensuite, les données sont (déchiffrées) en mode CBC-HMAC.
• Lors du chiffrement, le sel est écrit dans le fichier AES.
 Livre blanc sur la sécurité de Dashlane, octobre 2018
3
c. Utilisation des données locales après le déchiffrement
Une fois que l’utilisateur a saisi son mot de passe principal localement dans Dashlane et que ses données d’utilisateur ont été sauvegardées.
déchiffré, les données sont chargées en mémoire.
Le client Dashlane fonctionne avec des contraintes importantes pour utiliser efficacement les données utilisateur déchiffrées
et en toute sécurité:
• Les processus Dashlane déchiffrent et accèdent à des mots de passe individuels pour les remplir automatiquement sur des sites Web.
ou pour enregistrer les informations d'identification sans avoir à demander à l'utilisateur le mot de passe principal à chaque fois.
• Les utilisateurs exigent que ces actions soient effectuées rapidement.
• Les mots de passe sont envoyés par différents processus via des canaux nommés ou des sockets Web.
du noyau aux plugins (mais ils sont d'abord cryptés avec AES).
• La dérivation Argon2d (ou PBKDF2) utilisée pour calculer les clés AES ajoute une latence significative.
(dans le but de protéger des attaques par force brute).
Voir au §2.f pour plus d'informations sur la gestion de la mémoire.
ré. Utilisation d'applications 2FA pour accroître la sécurité des données utilisateur
À tout moment, un utilisateur peut associer son compte à une application 2FA sur son appareil mobile (un exemple
entre autres Google Authenticator). Toutes leurs données, à la fois les données stockées localement et les données
envoyés aux serveurs Dashlane à des fins de synchronisation sont ensuite chiffrés avec une nouvelle clé, qui est
généré par une combinaison du mot de passe utilisateur principal et d’une clé générée aléatoirement appelée
la clé secondaire utilisateur stockée sur le serveur Dashlane, comme décrit dans les étapes suivantes:
• L’utilisateur lie son compte Dashlane à son application 2FA.
• Les serveurs Dashlane génèrent et stockent une clé secondaire d’utilisateur, qui est envoyée à l’utilisateur.
application client.
• Toutes les données personnelles sont chiffrées avec un nouveau côté client généré symétriquement AES 256 bits
avec le mot de passe utilisateur principal et la clé secondaire d’utilisateur.
• La clé secondaire utilisateur n'est jamais stockée localement.
• La prochaine fois que l'utilisateur essaiera de se connecter à Dashlane, les serveurs Dashlane lui demanderont de
fournir un mot de passe à usage unique généré par l'application 2FA. Dès réception et
En vérifiant ce mot de passe à usage unique, les serveurs Dashlane enverront la clé secondaire utilisateur à
l’application client, permettant à l’utilisateur de déchiffrer ses données.
Ce faisant, les données utilisateur ne peuvent être déchiffrées qu’en utilisant à la fois le mot de passe utilisateur principal et le mot de passe utilisateur.
Application 2FA liée au compte de l'utilisateur.
e. Authentification
Certains services de Dashlane étant basés sur le cloud (synchronisation des données entre plusieurs appareils
par exemple), il est nécessaire d’authentifier l’utilisateur sur les serveurs Dashlane.
 Livre blanc sur la sécurité de Dashlane, octobre 2018
4
L’authentification de l’utilisateur sur les serveurs Dashlane est basée sur la clé de l’utilisateur et n’a
relation avec le mot de passe utilisateur principal.
Lorsqu'un utilisateur crée un compte ou ajoute un nouveau périphérique pour synchroniser ses données, un nouveau périphérique utilisateur
La clé est générée. La clé de périphérique utilisateur est composée de deux parties:
• Tout d’abord, une partie prévisible basée sur certaines caractéristiques matérielles et logicielles de la
dispositif.
• Deuxièmement, 38 caractères (lettres minuscules, majuscules et chiffres) générés à l’aide des
Fonction OpenSSL RAND_byte.
Cette clé de périphérique utilisateur est ensuite stockée localement dans les données utilisateur, chiffrée comme toutes les autres données utilisateur.


FREE: Les nouveaux utilisateurs de la version gratuite ont désormais le droit d'enregistrer jusqu'à 50 mots de passe par appareil.  https://www.dashlane.com
Inscription à : Articles (Atom)