Depuis quelques jours, des mails qui ressemblent à de vrais échanges avec le support de LastPass visent les utilisateurs et utilisatrices du service. Derrière ces faux fils de discussion se déploie une nouvelle campagne de phishing conçue pour pousser les victimes à saisir leurs identifiants sur un site frauduleux.

LastPass : si vous recevez cette alerte de sécurité, c’est (encore) du phishing. © SomYuZu / Shutterstock
LastPass : si vous recevez cette alerte de sécurité, c’est (encore) du phishing. © SomYuZu / Shutterstock

Et rebelote. LastPass vient une nouvelle fois d’alerter ses utilisateurs et utilisatrices concernant une campagne de phishing cherchant à se faire passer pour son support technique. Les attaquants envoient de faux fils de discussion qui laissent croire qu’une opération sensible a déjà été lancée sur le compte, puis redirigent les victimes vers un site cloné où sont récupérés identifiant et mot de passe maître. Le gestionnaire de mots de passe assure que son infrastructure n’a pas été compromise, mais appelle ses clients et clientes à redoubler de vigilance face à ce type de messages.

De l’art de faire croire à un piratage pour mieux pirater

D’après LastPass, les messages envoyés par les attaquants se présentent comme des alertes liées à un accès non autorisé ou à une action sensible sur le compte, par exemple une tentative de récupération, d’export du coffre ou de modification des informations de sécurité. L’objet reprend les codes d’une réponse ou d’un transfert de mail, de manière à faire croire qu’un échange est déjà en cours. Le corps du texte déroule un faux fil de discussion censé montrer un utilisateur tiers en train de dialoguer avec le support, comme si cette personne avait déjà réussi à lancer la procédure à la place de la victime.

Le contenu adopte le même ton que les communications de sécurité usuelles et oriente naturellement la cible vers un lien présenté comme la meilleure manière de signaler une activité suspecte et de sécuriser le compte.

En cliquant, la victime est redirigée vers une page de connexion hébergée sur le domaine verify-lastpass[.]com, un nom suffisamment proche de l’original pour tromper un internaute pressé. La copie du site officiel reprend les éléments visuels habituels et invite à saisir l’identifiant et le mot de passe maître, des informations ensuite transmises aux opérateurs de la campagne de phishing.

À noter que les adresses d’envoi proviennent en majorité de sites compromis ou de domaines abandonnés, masqués derrière l’affichage d’un nom d’expéditeur « LastPass Support ». Plusieurs variantes circulent au niveau de l’objet ou du domaine utilisé pour la collecte, ce qui complique encore la détection automatique de la campagne. L’entreprise a également tenu à confirmer qu’aucune intrusion n’a été constatée dans ses systèmes et rappelle que les mails envoyés par ses équipes ne demandent jamais de divulguer le mot de passe maître.

Le faux fil de discussion est pensé pour faire croire aux victimes qu'un inconnu tente de s'emparer de leur compte et qu'il faut agir vite. © LastPass
Le faux fil de discussion est pensé pour faire croire aux victimes qu'un inconnu tente de s'emparer de leur compte et qu'il faut agir vite. © LastPass

Un service (très) souvent ciblé

La popularité de LastPass en fait une cible régulière pour des opérations d’hameçonnage cherchant à obtenir l’accès aux coffres de mots de passe. Depuis la fin de l’année 2025, plusieurs campagnes similaires ont été observées. La plus récente mettait en scène de prétendues obligations de maintenance assorties de délais serrés pour pousser les utilisateurs et utilisatrices à cliquer. Les précédentes jouaient sur la nécessité de mettre à jour l’application ou, plus original, sur la mort supposée d’un utilisateur afin de déclencher une procédure de récupération de compte.

Quelle que soit la méthode de phishing, si vous utilisez LastPass ou un autre gestionnaire de mots de passe, gardez vos réflexes de base. Ne cliquez pas sur les liens reçus par mail, même lorsqu’ils évoquent une alerte de sécurité, et ouvrez directement l’application ou le site officiel en passant par vos favoris ou en saisissant l’URL dans votre navigateur.

En cas de doute, vérifiez l’activité récente de votre compte, révoquez les accès accordés aux appareils que vous ne reconnaissez pas, changez votre mot de passe maître si nécessaire (toujours depuis le site web officiel), activez l’authentification multifactorielle si ce n’est pas déjà fait et signalez les mails frauduleux à l’adresse abuse@lastpass.com.

Source : LastPass

LastPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
6 / 10

LastPass est très facile à maîtriser. Tout est intuitif et bien organisé, que ce soit avec la version à installer sur ordinateur ou les applications mobiles. Comme d’autres gestionnaires en ligne, la version desktop offre plus de possibilités de réglages. Disponible gratuitement ou en version Premium (et Famille), LastPass répondra à tous vos besoins. Cependant, avec une année 2022 marquée par les problèmes de sécurité rencontrés par l'entreprise, la réputation de LastPass est désormais ternie, et il sera nécessaire pour le gestionnaire de redoubler d'efforts pour regagner la confiance des utilisateurs.

Lire le test complet sur LastPass
Essayer LastPass maintenant !
Les plus
  • Stockage illimité des mots de passe
  • Surveillance du dark web (Premium)
  • Interface
  • Gestion des mots de passe des logiciels Windows
Les moins
  • Pas de double authentification quand on se connecte
  • Pas de VPN
  • Petits soucis de connexion à la version en ligne