La sécurité au cœur de l’expérience Web
Comme vous le savez peut-être déjà, Dashlane va remiser ses applications de bureau pour se recentrer autour d’une nouvelle expérience Web où les utilisateurs pourront accéder à leur compte via l’extension de navigateur. Dès le début de ce projet, le respect de nos standards de sécurité très stricts a été une priorité.
Dans cet article, j’ai le plaisir de vous révéler comment nous avons atteint cet objectif. Je vais aussi en profiter pour réfuter quelques mythes au sujet de la sécurité des extensions pour navigateur.
Les bases pour tout comprendre
Connaissez-vous la différence entre un site Web, une application Web et une extension pour navigateur ?
Les sites Web et les applications Web vous transmettent du contenu (fichiers HTML, images, fichiers JavaScript, etc.) par le biais d’un serveur. Ce contenu est ensuite interprété par votre navigateur pour être affiché dans son format final dans la fenêtre de navigation. Une application Web est un type de site Web qui offre une fonctionnalité accrue et intègre des éléments interactifs. Par exemple, les outils Gmail, Twitter, Netflix, Amazon et Kayak sont des applications Web, tandis qu’une page comme Wired.com est ce qu’on appelle communément un site Web.
À l’inverse, une extension de navigateur est une application que vous installez dans le navigateur de votre choix (Chrome, Firefox ou encore Edge). Les extensions sont très semblables aux applications de bureau : ces deux types de solutions fonctionnent en utilisant des fichiers stockés sur votre ordinateur (et non des fichiers téléchargés depuis un serveur). La grande différence, c’est que les applications de bureau sont installées sur votre système d’exploitation (Windows et macOS), tandis que les extensions sont installées et exécutées directement dans votre navigateur. Pour plus de sécurité, les extensions sont aussi examinées et approuvées par chaque navigateur avant d’être proposées dans leur magasin respectif.
Dans la nouvelle expérience Web de Dashlane, l’extension et l’application Web fonctionnent de concert pour vous offrir un service plus riche et plus sécurisé qui propose une saisie automatique grandement améliorée. Ce système vous permet toujours d’accéder à votre coffre-fort en mode hors ligne sur les appareils autorisés que vous avez déjà utilisés pour vous connecter à Dashlane (à condition de ne pas avoir activé la double authentification à chaque connexion). Pour accéder à votre coffre-fort, c’est très simple : dans votre extension, choisissez Plus dans le menu du haut puis cliquez sur Ouvrir l’application ; vous pouvez aussi passer par Dashlane.com et cliquer sur Connexion dans le coin supérieur droit. Si l’extension n’est pas installée sur votre ordinateur, vous pouvez vous rendre sur app.dashlane.com pour vous connecter.
Une nouvelle plateforme, mais une même architecture
Sous ses airs différents, cette plateforme reprend l’architecture propre à Dashlane : la divulgation nulle de connaissance reste au cœur de son fonctionnement. Vous demeurez la seule personne à pouvoir accéder à vos données. Dashlane ne peut pas consulter le contenu de votre compte (et il en va de même pour les pirates informatiques !). Pour garantir cela, nous chiffrons vos données de façon locale, sur votre appareil, plutôt que sur un serveur à distance : notre nouvelle expérience Web suit ce même procédé.
Comme vos données sont chiffrées au niveau local, même si un hackeur parvenait à pénétrer nos serveurs AWS, il aurait comme seul butin des millions de fichiers illisibles et aucune clé pour les déchiffrer. Sur le papier, il est possible de décoder un fichier chiffré par force brute. Mais grâce à notre chiffrement AES-256 et à notre fonction de dérivation de clé Argon 2, cela prendrait des milliers d’années pour les ordinateurs les plus puissants au monde.
Petit rappel : si vous utilisez des services avec chiffrement local (comme Dashlane ou l’application de messagerie Signal) sur votre appareil, vous devez impérativement les protéger en activant le verrouillage par mot de passe, code PIN ou biométrie. Sans cela, tout pirate ou voleur pourrait facilement s’emparer de vos données sensibles.
La sécurité : un investissement de tous les instants
La sécurité est inscrite dans les gènes de nos produits, de notre marque et de notre culture. Au-delà de nos efforts continus pour optimiser notre service, nous sommes investis dans les initiatives suivantes :
- Optimisation de notre modèle de menace interne
- Programme de chasse aux bogues en partenariat avec HackerOne
- Recrutement de tiers pour réaliser des audits de sécurité
- Respect des bonnes pratiques du secteur (comme la norme Soc2)
- Implication dans des communautés spécialisées (comme la FIDO Alliance) et mise en place de nouveaux protocoles axés sur la sécurité (p. ex. WebAuthn)
Aucun système de sécurité n’est infaillible. Pour veiller à la sécurité des données de ses utilisateurs, Dashlane s’applique à identifier les risques potentiels, à agir de façon préventive et à développer des plans pour contenir tout incident de sécurité. Nous n’avons jamais connu un seul incident, mais nous sommes parés à toutes les éventualités pour ne rien laisser au hasard.
Envie de connaître les détails techniques de notre architecture de sécurité ? Consultez notre livre blanc (en anglais).
Inscrivez-vous pour connaître toute l'actualité de Dashlane