Un mail qui prétend vous protéger d’un piratage… pour mieux vous infecter. C’est la méthode choisie par des cybercriminels qui se font passer pour LastPass et Bitwarden. Leur appât ? Une fausse mise à jour censée corriger une faille imaginaire.
Depuis quelques jours, des messages circulent auprès d’utilisateurs et utilisatrices de LastPass et Bitwarden. Le ton est pressant, les logos sont bien placés et la promesse rassurante : un correctif de sécurité pour patcher une vulnérabilité critique. En apparence, tout semble crédible. En réalité, le lien ne mène pas vers une mise à jour, mais vers un outil qui ouvre la porte à une prise de contrôle complète de l’ordinateur. Une campagne de phishing bien ficelée, qui s’appuie sur la notoriété des principaux gestionnaires de mots de passe pour mieux piéger leurs abonnés.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une mise à jour bidon, un accès bien réel
Comme souvent, le traquenard commence par un message alarmant, envoyé au nom de LastPass ou Bitwarden. On y apprend qu’une faille aurait touché les anciennes versions du logiciel et qu’il faut, au plus vite, installer une nouvelle version « sécurisée » de l’appli. Le mail est bien rédigé, le ton crédible, et les adresses cherchent à imiter (maladroitement) les officielles. Bref, la routine.
Sauf qu’au lieu d’une mise à jour du gestionnaire de mots de passe, le lien installe Syncro MSP, un outil légitime de maintenance informatique à distance. Détourné de son usage initial, il permet ensuite de déployer ScreenConnect, un logiciel de support à distance. Résultat, les attaquants obtiennent un accès complet à l’ordinateur.
D’après les analyses approfondies de BleepingComputer, l’icône de Syncro est masquée dans la barre des tâches, son activité programmée pour se synchroniser toutes les 90 secondes, et les agents antivirus sont désactivés. À partir de là, les assaillants peuvent installer d’autres malwares, voler des informations sensibles, et potentiellement obtenir un accès non autorisé aux données du coffre-fort mises en cache.
LastPass a depuis publié un message officiel pour préciser qu’aucune fuite de données ni intrusion dans son infrastructure n’avaient été détectées. L’entreprise parle d’une tentative classique d’ingénierie sociale, visant à créer un sentiment d’urgence pour inciter les destinataires à télécharger un faux correctif.
Cloudflare a de son côté bloqué les pages associées, mais la campagne circule encore. Sa mise en œuvre soignée laisse penser qu’elle pourrait revenir sous d’autres formes.
Un précédent avec 1Password
Quelques jours plus tôt, une autre série de mails frauduleux visait cette fois les utilisateurs et utilisatrices de 1Password. Le scénario était presque identique, le message annonçant une compromission du mot de passe maître et fournissant un lien vers un site copie conforme pour générer de soi-disant nouvelles clés d’accès au coffre-fort.
Là encore, la campagne misait sur la précipitation et les réflexes humains. Ces opérations sont suffisamment bien conçues pour piéger sur une simple inattention même des personnes habituées aux risques.
Moralité, si un mail prétend vous sauver d’un piratage ou d’une faille CVSS 10, ne cliquez sur rien. Rendez-vous directement sur le site officiel du service, vérifiez les annonces sur le blog ou les réseaux sociaux de l’éditeur, activez l’authentification à deux facteurs quand c’est possible, et mettez régulièrement vos applications, systèmes d’exploitation et antivirus à jour.
Sources : BleepingComputer, LastPass
