Une nouvelle campagne de phishing cible les utilisateurs et utilisatrices de LastPass. Des mails imitant le support du service évoquent une maintenance fictive afin de récupérer l’accès aux coffres.

Attention à ce mail qui vous donne 24 heures pour sauvegarder votre coffre LastPass, c’est une arnaque. © MMD Creative / Shutterstock
Attention à ce mail qui vous donne 24 heures pour sauvegarder votre coffre LastPass, c’est une arnaque. © MMD Creative / Shutterstock

LastPass vient de tirer la sonnette d’alarme concernant une vague de mails malveillants imitant ses communications officielles, qui évoquent une opération de maintenance imminente et incitent à sauvegarder son coffre dans un délai de 24 heures. Une campagne de phishing qui vise, a priori, des personnes disposant réellement d’un compte LastPass, en vue de mettre le grappin sur leur mot de passe maître et d'accéder au contenu de leur gestionnaire d’identifiants.

Une maintenance fictive pour pousser au clic

Selon l’équipe Threat Intelligence, Mitigation, and Escalation de LastPass, la campagne a débuté autour du 19 janvier 2026. De manière tout à fait classique, les mails frauduleux identifiés reprennent les codes habituels des communications du service, avec un discours volontairement rassurant et une mise en scène pensée pour inciter à agir vite. Le message évoque une opération de maintenance et invite à créer une sauvegarde locale du coffre afin de garantir un accès continu aux identifiants, en suggérant qu’un incident technique pourrait compliquer leur récupération.

Le lien embarqué ne pointe évidemment pas vers une infrastructure LastPass, mais redirige d’abord vers une page hébergée sur un bucket Amazon S3 situé en Europe, avant d’aboutir sur un domaine trompeur (mail-lastpass.com). L’interface reprend les éléments visuels du gestionnaire de mots de passe et pousse à la saisie d’informations sensibles, parmi lesquelles le mot de passe maître du coffre.

Une fois ces données renseignées, les attaquants peuvent prendre le contrôle du compte et accéder au contenu du coffre, avec les conséquences que cela implique pour l’ensemble des services associés.

Les mails frauduleux repérés par LastPass imitent les communications officielles du service et renvoient vers des pages web malveillantes destinées à siphonner les identifiants de leurs victimes. © LastPass
Les mails frauduleux repérés par LastPass imitent les communications officielles du service et renvoient vers des pages web malveillantes destinées à siphonner les identifiants de leurs victimes. © LastPass

Vérifier, signaler, sécuriser son compte

Comme l’a rappelé LastPass dans son billet, il n’existe aucune situation légitime dans laquelle le service vous demanderait votre mot de passe maître, encore moins par mail, pas plus qu’une opération de maintenance n’exige la sauvegarde du contenu de son coffre dans l’urgence.

Donc si vous recevez un jour ce type de mail, le mieux reste encore de l’ignorer, de ne surtout pas cliquer sur les liens qu’il contient et de le transférer à l’adresse spécialement créée par LastPass pour lutter contre les arnaques (abuse@lastpass.com). En cas de doute, passez systématiquement par l’application ou le site web, dont vous aurez vous-même saisi l’URL dans la barre d’adresse, afin de vérifier dans votre espace utilisateur si LastPass a réellement tenté de vous contacter.

Enfin, si vous avez cliqué et renseigné vos informations, modifiez immédiatement votre mot de passe maître depuis une session légitime, contrôlez la liste des appareils connectés à votre compte LastPass, supprimez ceux qui n’ont rien à y faire et activez l’authentification à deux facteurs si ça n’est pas déjà fait. Il vous faudra aussi changer tous les identifiants stockés dans le gestionnaire, en commençant évidemment par les plus critiques (boîte mail, comptes Apple, Google ou Microsoft, services publics, plateformes bancaires et cryptos, services cloud, réseaux sociaux).

Source : LastPass

LastPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
6 / 10

LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l'entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d'efforts pour regagner la confiance des utilisateurs.

Lire le test complet sur LastPass
Essayer LastPass maintenant !
Les plus
  • Stockage illimité des mots de passe
  • Surveillance du dark web (Premium)
  • Interface
  • Gestion des mots de passe des logiciels Windows
Les moins
  • Pas de double authentification quand on se connecte
  • Pas de VPN
  • Petits soucis de connexion à la version en ligne