Votre compte LastPass piraté ? Attention à cet email alarmant

Certains utilisateurs reçoivent des emails les alertant d'une intrusion sur leur compte LastPass. Il s'agit en fait d'une tentative de phishing visant à subtiliser vos données, et notamment votre mot de passe principal.

Votre compte LastPass a-t-il été compromis ? La plateforme annonce qu'une nouvelle campagne d'hameçonnage (phishing) est en train de viser ses utilisateurs. Celle-ci a débuté aux alentours du 1ᵉʳ mars 2026 et est toujours active au moment auquel ces lignes sont écrites. Des pirates envoient de faux emails qui imitent ceux de LastPass pour faire croire qu'une autre personne tente d'effectuer des actions non autorisées sur le compte LastPass, comme l'exportation du coffre-fort, la récupération complète du compte, ou l'enregistrement d'un nouvel appareil de confiance.

Les messages incitent les cibles à effectuer une action (signaler une activité suspecte, déconnecter et verrouiller le coffre-fort, révoquer l'appareil…) s'ils ne sont pas à l'origine de l'opération (qui n'a donc jamais eu lieu). Bien sûr, des liens redirigent les victimes vers de fausses pages de connexion SSO, à partir desquelles sont collectés leurs identifiants.

Ne cliquez pas sur les liens d'emails LastPass

“Il s'agit d'une tentative de la part d'un acteur malveillant pour attirer l'attention et créer un sentiment d'urgence chez le destinataire, une tactique courante dans les courriels d'ingénierie sociale et d'hameçonnage”, alerte LastPass. Le service de gestion de mots de passe ajoute qu'aucun de ses employés ne vous demandera jamais votre mot de passe principal.

L'attaquant exploite le fait que de nombreux clients de messagerie (surtout sur mobile) n'affichent que le nom de l'expéditeur, masquant l'adresse complète depuis laquelle il envoie le message tant que celle-ci n'est pas développée par une action de l'utilisateur. Du premier coup d'œil, l'email peut sembler légitime, car les détails ne sont pas affichés.

Méfiez-vous notamment du domaine https[:]//verify-lastpass[.]com et de ses variations (versions légèrement modifiées en ajoutant différents chiffres à la fin). Les emails sont généralement en anglais, ce qui donne aussi la puce à l'oreille. Voici une liste d'objets d'emails identifiés comme étant utilisés par les attaquants :

• Re: the details
• Re: pending approval
• Re: Access request pending
• Re: FYI
• RE: sign-in — TRZ-2302300
• Fwd: Re: your request
• Re: credential download

Ces derniers mois, plusieurs campagnes de phishing ont visé les utilisateurs de LastPass, la dernière en date remontant à seulement janvier 2026. Vous voilà prévenus.