Phishing LastPass : attention à ces faux fils d’e-mails qui simulent une suppression de la 2FA pour piéger les utilisateurs

Des e-mails qui ressemblent à une discussion interne chez LastPass, un “pirate” qui demande la suppression de la 2FA, un support qui “obéit” et te laisse un lien pour reprendre la main. Sauf que tout est bidon. LastPass vient d’alerter sur une campagne de phishing qui mise sur de faux fils d’e-mails pour te faire croire que ton coffre-fort est en train d’être vidé, là, maintenant.

LastPass sous menace : des e-mails frauduleux imitent le support et piègent les victimes avec une fausse connexion SSO

Le truc, c’est que cette arnaque ne se contente pas d’un message “clique ici pour sécuriser ton compte”. Elle fabrique une petite mise en scène, avec plusieurs messages en chaîne, et joue sur un détail que beaucoup de gens ne vérifient jamais: l’adresse réelle de l’expéditeur, souvent masquée sur mobile derrière un simple nom d’affichage. Résultat: tu paniques, tu cliques, et tu risques de donner ton mot de passe maître à des inconnus.

Le scénario du faux “support LastPass” qui te met la pression

Dans cette campagne, tu ne reçois pas juste une alerte. Tu reçois un “transfert” d’échanges, comme si on t’envoyait la preuve d’un incident en cours. Le fil te montre une conversation entre un faux support LastPass et un prétendu attaquant. Et dans le dialogue, l’attaquant se fait passer pour toi, demande une action critique (suppression de la 2FA, réinitialisation, récupération complète), et le “support” répond comme si c’était normal.

Psychologiquement, c’est bien vu – et un peu vicieux. L’idée, c’est de te faire croire que tu as un coup d’avance: “si je clique vite sur le lien, je reprends le contrôle avant le pirate”. Sauf que le lien est là pour ça. Il t’emmène vers une page de connexion qui ressemble à LastPass, et si tu entres tes identifiants, tu les offres sur un plateau. L’urgence est le moteur: export de coffre-fort, nouvel appareil “de confiance”, tentative de verrouillage, tout ce qui fait monter le stress.

LastPass explique que la campagne a démarré au début du mois de mars 2026, avec plusieurs adresses d’envoi et des objets variés. Ce détail compte: si tu te dis “j’ai déjà vu cet objet, c’est une arnaque”, les attaquants changent juste deux mots et repartent. Et comme le message arrive parfois sous forme de chaîne “forwardée”, tu as l’impression que ça circule déjà, que c’est sérieux, presque administratif.

Un autre point clé: l’arnaque s’appuie sur l’usurpation du nom d’affichage. Beaucoup de clients mail – surtout sur smartphone – te montrent “LastPass Support” en gros, et l’adresse réelle en petit, cachée, voire pas visible tant que tu n’ouvres pas les détails. Les escrocs misent sur ce réflexe: tu lis vite, tu vois le nom, tu ne déroules pas l’en-tête. Et tu cliques. C’est bête, mais c’est humain.

Le piège du nom d’expéditeur, surtout sur mobile

LastPass insiste sur un angle très concret: les attaquants manipulent le champ “nom” de l’expéditeur pour faire croire que l’e-mail vient de la marque, alors que l’adresse derrière n’a rien à voir. Sur un écran de téléphone, tu vois souvent le nom, point. L’adresse complète, tu dois la chercher. Et soyons honnêtes: quand tu es dans le métro, entre deux réunions, tu ne la cherches pas.

J’ai vu le même mécanisme dans des boîtes où je passais en audit “hygiène numérique” – pas glamour, mais instructif. Les gens ne tombent pas parce qu’ils sont naïfs, ils tombent parce que tout est optimisé pour la vitesse. Un message qui dit “export de coffre-fort en cours” ou “nouvel appareil enregistré” te pousse à agir avant de réfléchir. Et si en plus tu as un fil de discussion qui a l’air crédible, tu baisses la garde.

Les attaquants ajoutent une couche avec des liens qui passent par des redirections. LastPass a cité des URLs qui aboutissent sur un domaine de type verify-lastpass[.]com, avec une page de connexion SSO factice. C’est typiquement le genre d’adresse qui “sonne” légitime au premier coup d’il, surtout si tu lis en diagonale. Et si tu es sur mobile, tu ne vois parfois même pas l’URL complète avant d’avoir déjà tapé.

Le point qui doit te rester en tête: un mot de passe manager, c’est un trousseau de clés. Si tu donnes le mot de passe maître, tu ne perds pas juste un compte. Tu risques de perdre l’accès à tout ce qui est dedans: boîtes mail, réseaux sociaux, services pro, parfois des accès d’équipe. Du coup, les attaquants mettent le paquet sur la mise en scène, parce que le gain potentiel est énorme.

verify-lastpass[.]com et les fausses pages SSO qui aspirent tes identifiants

Le cur technique de l’arnaque, c’est la page de connexion clonée. LastPass parle de fausses pages SSO, avec un domaine qui imite le service et une URL de login qui fait sérieux. Tu cliques, tu arrives sur un écran familier, tu vois un champ e-mail, un champ mot de passe, parfois un habillage qui copie la charte. À ce moment-là, ton cerveau se dit “ok, c’est le bon site”. Et tu tapes.

Sauf que l’objectif est simple: récupérer ton mot de passe maître. LastPass le répète noir sur blanc dans son avertissement: la société ne te demandera jamais ton mot de passe maître. Jamais. C’est la règle d’or. Si un e-mail, même “urgent”, te pousse à le saisir via un lien, tu pars du principe que c’est une arnaque. Ce n’est pas de la parano, c’est de l’autodéfense numérique de base.

Le détail qui trompe souvent, c’est la logique du message: “le pirate a demandé une réinitialisation, clique vite pour l’empêcher”. Dans la tête d’un utilisateur, c’est cohérent. Sauf que la cohérence est fabriquée. Les attaquants veulent que tu croies que tu reprends le contrôle, alors que tu es juste en train d’ouvrir la porte. Et une fois qu’ils ont le mot de passe maître, ils peuvent tenter de se connecter pour de vrai, sur le vrai LastPass.

LastPass dit aussi qu’il travaille à faire retirer ces pages malveillantes au plus vite. C’est le jeu du chat et de la souris: tu fais tomber un domaine, un autre apparaît. Et pendant ce temps, la campagne continue, avec de nouvelles variantes d’e-mails. Si tu as une équipe IT, c’est le moment de prévenir tout le monde, pas juste “les gens à risque”. Dans une boîte, il suffit d’une personne pressée pour créer un incident sérieux.

LastPass dit que son infrastructure tient, mais le danger est chez toi

Point important dans l’alerte: LastPass assure que son infrastructure est intacte et que ces messages ne viennent pas de son domaine e-mail. Ça veut dire quoi, concrètement? Que le problème n’est pas une “intrusion” dans leurs serveurs qui enverrait des e-mails officiels. Le problème, c’est l’usurpation et l’ingénierie sociale. Les attaquants n’ont pas besoin de casser la porte s’ils peuvent te convaincre de leur donner les clés.

Ça ne rend pas le truc moins grave, au contraire. Parce que la surface d’attaque, c’est toi, moi, n’importe qui avec une boîte mail. Et les protections côté entreprise (DMARC, SPF, DKIM, filtres anti-spam) ne sont pas magiques. Il suffit d’un message qui passe, d’un affichage ambigu, d’une personne qui clique. Les campagnes modernes sont construites pour survivre aux filtres, pas pour être “propres”.

LastPass insiste aussi sur une consigne simple: si tu reçois ce type d’e-mail, tu contactes le support via les canaux officiels, pas via le lien dans le message. C’est basique, mais c’est ce qui sauve. Tu ouvres ton navigateur, tu tapes l’adresse du site toi-même, tu passes par l’appli officielle, tu vérifies tes connexions et tes appareils de confiance depuis ton compte, pas depuis un bouton “urgent” dans un e-mail.

La nuance, quand même: après les précédents problèmes de réputation qu’a traînés LastPass ces dernières années, il y a un réflexe de méfiance chez pas mal d’utilisateurs. Les escrocs le savent et ils en jouent. Un message qui suggère “quelqu’un exporte ton coffre-fort” touche une corde sensible. Le danger, c’est de confondre “je suis méfiant” avec “je clique vite pour vérifier”. La méfiance utile, c’est de ralentir, pas d’accélérer.

Ce que tu peux faire aujourd’hui pour ne pas te faire avoir

Première règle: ne clique pas. Ou plutôt, ne clique pas tant que tu n’as pas vérifié l’expéditeur en détail. Sur mobile, force-toi à afficher l’adresse complète, pas juste le nom. Si tu vois un domaine bizarre, une adresse qui n’a rien à voir, tu supprimes. Et même si ça “a l’air” bon, tu ne te connectes jamais à LastPass via un lien reçu par e-mail. Tu passes par ton appli ou par l’URL que tu connais.

Deuxième règle: rappelle-toi que LastPass ne te demandera jamais ton mot de passe maître. Si un message te le demande, c’est terminé, c’est non. Pour te donner un exemple concret: un vrai support peut te demander des infos de compte, des captures, des étapes de diagnostic. Mais te demander le secret principal, c’est comme un banquier qui te demanderait ton code de carte “pour vérifier”. Ça n’existe pas dans un process sérieux.

Troisième règle: si tu as cliqué et que tu as tapé quelque chose, tu agis tout de suite. Tu changes ton mot de passe maître via le vrai site ou l’appli, tu vérifies les appareils connectés, tu regardes s’il y a eu des actions suspectes (nouvel appareil de confiance, export, récupération). Et tu préviens le support via les canaux officiels. Dans une entreprise, tu préviens aussi ton équipe sécu, même si tu as honte – le silence coûte plus cher.

Dernier point, plus large: cette arnaque montre que les attaques “narratives” marchent de mieux en mieux. Les faux fils d’e-mails, c’est du théâtre. Et tant que nos outils de messagerie affichent le nom en gros et l’adresse en petit, ce théâtre restera rentable. Si tu dois retenir un réflexe, c’est celui-là: quand un e-mail te met la pression, tu fais l’inverse de ce qu’il veut. Tu ralentis, tu vérifies, tu passes par tes chemins habituels.