Phishing contre LastPass : urgence et tromperie pour voler le mot de passe maître

LastPass a signalé une campagne active d'hameçonnage qui tente de supplanter le gestionnaire de mot de passe pour tromper les utilisateurs et leur faire livrer leur mot de passe maître. La vague de courriels frauduleux, détectée à partir du 19 janvier 2026, utilise des excuses liées à l'entretien présumé et demande aux victimes de « créer une copie locale » de leur chambre forte dans un délai très court, dans l'intention de provoquer une réaction impulsive.

Les agresseurs envoient des messages avec des questions qui imitent les communications officielles, cherchant à transmettre l'urgence et la légitimité. De LastPass, ils expliquent que cette tactique - pression avec des délais courts et des alertes de sécurité - est l'une des plus efficaces dans les campagnes d'hameçonnage car elle pousse les utilisateurs à sauter des vérifications simples. La société a insisté pour que ne demandera jamais le mot de passe maître par courrier et qu'elle n'imposera pas de délai d'action immédiat pour récupérer ou exporter les coffres-forts.

La tromperie redirige d'abord les victimes vers une infrastructure contrôlée par les agresseurs, logée dans un seau S3 avec une route similaire à "group-content-gen2.s3.eu-west-3.amazonaws [.] com / 5yaVgx51ZzGf", et de là à un domaine qui simule pour appartenir à LastPass, identifié commemail-lastpass [.] com. LastPass a publié des informations sur la campagne et est en coordination avec des partenaires externes pour essayer de briser l'infrastructure malveillante; votre avis officiel peut être consulté sur votre blog d'entreprise: blog.lastpass.com. En outre, le domaine frauduleux a été enregistré et analysé dans des services de renseignement tels que VirusTotal: virusTotal - mail-lastpass [.] pour.

LastPass a également fourni les adresses mail à partir desquelles des messages malveillants viennent, pour aider les utilisateurs à les identifier: par exemple, ils apparaissent comme support @ sr22vegas [.] com et variantes qui tentent de paraître légitimes (support @ lastpass [.] server8, support @ lastpass [.] server7, support @ lastpass [.] server3). La présentation des adresses personnelles permet de vérifier facilement si un courriel provient d'une source réelle ou non, car les attaquants utilisent souvent des domaines similaires ou des serveurs compromis pour donner l'apparence de l'authenticité.

Quel risque de tomber dans ce piège. Si un attaquant obtient le mot de passe principal, il a un accès potentiel à l'ensemble des identifiants stockés dans le coffre-fort de l'utilisateur, ce qui peut permettre une responsabilité critique en matière de service, de vol d'information financière et de remplacement d'identité. Bien que de nombreuses voûtes soient cryptées et que certains gestionnaires appliquent des mécanismes de protection supplémentaires, l'exposition au mot de passe principal demeure la voie la plus directe pour un engagement sérieux.

Pour éviter d'être une victime, il convient de suivre des pratiques simples mais efficaces : si vous recevez un courriel qui nécessite une action immédiate, ne appuyez pas sur les liens ou ne téléchargez pas les fichiers joints; ouvrez le gestionnaire de mot de passe ou le site officiel en écrivant l'URL manuellement ou en utilisant un marqueur fiable; vérifiez l'expéditeur calmement et vérifiez l'orthographe et le ton du message; et, si possible, activez des facteurs d'authentification supplémentaires pour protéger l'accès à votre compte. Les autorités et les équipes de cybersécurité recommandent des mesures similaires comme mesures générales contre l'hameçonnage - vous pouvez lire des guides pratiques dans des entités publiques telles que la U.S. Infrastructure Security and Cybersecurity Agency. États-Unis (CISA) CISA - Conseils contre l'hameçonnage ou le Centre national de cybersécurité du Royaume-Uni NCSC - phishing.

LastPass a remercié les clients qui signalent des courriels suspects et a souligné l'importance de la collaboration entre les utilisateurs et les équipes de sécurité pour répondre à ces campagnes. Les médias spécialisés dans la cybersécurité ont également recueilli les nouvelles et interviewé les porte-parole de l'équipe de la menace, de l'atténuation et de l'escalade du renseignement (TIME), qui mettent en évidence l'intention des agresseurs de générer un faux sentiment d'urgence pour forcer les erreurs humaines; plus d'information et de contexte peuvent être trouvés dans des portails technologiques tels que Les nouvelles Hacker.

Si vous pensez avoir répondu à un tel courriel et que vous avez entré votre mot de passe maître sur une page suspecte, agissez rapidement : changez le mot de passe maître d'un appareil sécurisé, vérifiez l'accès et les sessions actives dans votre compte, et envisagez de restaurer les mots de passe de service critiques s'il y a des signes d'abus. Il est également recommandé de signaler l'incident à LastPass et aux canaux de soutien du service concerné afin qu'ils puissent agir et alerter les autres utilisateurs.

La leçon laissée par cet épisode est double: d'une part, les attaquants continuent à sophisticer leurs méthodes d'exploitation rapide et de confiance; d'autre part, la réponse collective - les utilisateurs attentifs, les fournisseurs qui publient des avis et les plateformes qui agissent pour supprimer l'infrastructure malveillante - reste la défense la plus efficace. Le maintien des habitudes de sécurité numérique de base et la méfiance à l'égard des demandes urgentes de courrier demeurent aujourd'hui plus que jamais une mesure essentielle.