LastPass piraté via un prestataire : que faire si vous êtes client (et par quoi le remplacer)

Vous êtes client de LastPass ? Surveillez votre boîte mail de près dans les prochains jours. Le gestionnaire de mots de passe a confirmé le 23 juin 2026 une fuite de données. La bonne nouvelle d’abord, parce qu’elle compte : vos mots de passe et votre coffre-fort n’ont pas été touchés. La mauvaise : vos coordonnées de client, elles, se sont fait la malle. Et ça, c’est du carburant pour des arnaques taillées sur mesure.

Le plus piquant dans cette histoire, c’est que LastPass n’a pas été piraté directement. La faille est venue d’un de ses prestataires. Un grand classique de 2026 que je vois revenir sans arrêt. Je vous explique ce qui s’est passé, pourquoi vous êtes concerné même si votre compte est intact, et les trois réflexes à avoir maintenant. Avec, à la fin, mon avis sur l’opportunité de changer de crémerie.

Que s’est-il vraiment passé ?

LastPass utilise, comme beaucoup d’entreprises, des outils tiers pour gérer sa relation client. L’un d’eux s’appelle Klue, une application connectée à Salesforce (le logiciel de gestion de la relation client utilisé par LastPass). C’est Klue qui a été attaqué. Les pirates ont mis la main sur des jetons d’accès (des sortes de clés numériques qui autorisent une application à se connecter à une autre sans mot de passe) et s’en sont servis pour aspirer les données clients stockées dans le Salesforce de LastPass.

Résultat : des noms, des adresses e-mail, des numéros de téléphone, des adresses postales et des informations liées au support client ont été exfiltrés. L’attaque, attribuée à un groupe d’extorsion baptisé Icarus, n’a pas touché que LastPass. Plusieurs autres entreprises tech sont tombées dans le même filet. LastPass dit avoir été alerté le 12 juin, et la connexion avec l’application fautive a été coupée le 17 juin 2026.

C’est ce qu’on appelle une attaque par la chaîne d’approvisionnement (en anglais supply chain attack). Le principe : on ne force pas la porte blindée de la cible, on passe par un fournisseur moins bien gardé. Votre gestionnaire de mots de passe lui-même n’a pas été percé. C’est un de ses partenaires commerciaux qui a laissé la fenêtre ouverte.

Vos mots de passe sont-ils en danger ?

Soyons clairs sur ce point, parce que c’est le plus important : non, votre coffre-fort de mots de passe et votre mot de passe maître n’ont pas fuité. Ils n’étaient pas dans les données volées. Les fichiers concernés venaient du système de gestion client, pas des serveurs qui hébergent vos identifiants chiffrés.

Alors où est le problème ? Il est dans ce que les pirates peuvent faire avec vos coordonnées. Quand un escroc connaît votre nom, votre e-mail, votre numéro et le fait que vous êtes client de LastPass, il peut fabriquer un faux message extrêmement crédible. Un mail qui semble venir du support LastPass, qui vous appelle par votre prénom, qui vous demande de « vérifier votre compte » via un lien. C’est ça, le vrai danger ici : le phishing (hameçonnage en français) ultra ciblé. Et c’est exactement le genre de piège qui pousse les gens à taper leur mot de passe maître de leur plein gré sur un faux site.

Les 3 réflexes à avoir maintenant

Premier réflexe : méfiez-vous de tout message « LastPass » non sollicité. Dans les semaines qui viennent, partez du principe qu’un mail ou un SMS qui vous presse d’agir sur votre compte est suspect. Ne cliquez sur aucun lien dans ces messages. Si vous voulez vérifier quelque chose, tapez vous-même l’adresse du site dans votre navigateur ou passez par l’application. Nos bons réflexes face au phishing vous éviteront bien des pièges. Le support légitime ne vous demandera jamais votre mot de passe maître.

Deuxième réflexe : activez la double authentification si ce n’est pas déjà fait. La double authentification (ou 2FA, un deuxième code en plus du mot de passe) est votre meilleure assurance. Même si un escroc récupérait votre mot de passe maître via un faux site, il lui manquerait ce second facteur pour entrer. Dans LastPass, ça se règle dans les paramètres de sécurité du compte. Privilégiez une application d’authentification plutôt que le SMS, plus facile à intercepter.

Troisième réflexe : changez votre mot de passe maître, par précaution. Il n’a pas fuité, je le redis. Mais après une alerte pareille, repartir sur un mot de passe maître tout neuf, long et unique, ça ne coûte rien et ça remet les compteurs à zéro. Profitez-en pour vérifier les appareils connectés à votre compte et déconnecter ceux que vous ne reconnaissez pas.

Faut-il quitter LastPass ?

La question est légitime, surtout que LastPass traîne déjà un lourd passif. En 2022, l’entreprise avait subi une fuite autrement plus grave, où des coffres-forts chiffrés s’étaient retrouvés dans la nature. Cette fois, c’est moins grave sur le fond, mais l’accumulation finit par poser question. En vrai, je comprends qu’on perde patience.

Si vous voulez migrer, sachez que les alternatives sérieuses ne manquent pas. Bitwarden est gratuit, open source et a très bonne réputation. Proton Pass, du même éditeur que la messagerie Proton Mail, mise sur la confidentialité. 1Password joue la carte du confort et de la sécurité, avec un mode voyage qui masque vos coffres sensibles quand vous passez une frontière et un tableau de bord (le Watchtower) qui repère vos mots de passe faibles ou compromis. KeePass, lui, stocke tout en local sur votre machine si vous ne voulez aucune donnée dans le cloud. Petit conseil avant de partir : exportez votre coffre LastPass, importez-le dans le nouveau gestionnaire, vérifiez que tout est bien passé, puis supprimez les données de l’ancien compte.

Faut-il fuir en courant pour autant ? Pas forcément. Aucun gestionnaire n’est à l’abri d’un incident, et un bon gestionnaire reste mille fois préférable à des mots de passe réutilisés un peu partout. Le vrai sujet, ce n’est pas la marque, c’est l’hygiène : un mot de passe unique par site et la double authentification activée.

Comment reconnaître un faux mail LastPass ?

C’est la question qui compte le plus dans les jours qui viennent. Un faux message exploite toujours les mêmes ressorts. Il vous presse d’agir (« votre compte sera bloqué dans 24 heures »), il joue sur la peur (« activité suspecte détectée ») et il vous pousse à cliquer sur un lien. Trois signaux doivent vous alerter : un expéditeur dont l’adresse ne se termine pas exactement par @lastpass.com, un lien dont l’adresse réelle (visible en survolant le bouton sans cliquer) ne correspond pas au site officiel, et toute demande de saisir votre mot de passe maître. Aucun service sérieux ne vous le réclamera jamais par mail. Dans le doute, ne répondez pas au message : ouvrez vous-même l’application ou tapez l’adresse du site à la main dans votre navigateur.

Ce qu’il faut retenir

Cette fuite ne menace pas directement vos mots de passe, mais elle ouvre la porte à des arnaques bien ficelées. On a d’ailleurs déjà vu de faux e-mails exploiter une fuite de données pour piéger les victimes. Trois choses à faire en sortant de cet article. Restez sur vos gardes face à tout message LastPass dans les prochaines semaines, et ne cliquez sur rien. Activez la double authentification si ce n’est pas fait, c’est le geste qui change tout. Changez votre mot de passe maître par précaution et faites le ménage dans les appareils connectés.

Et si je devais ne garder qu’un conseil : ne laissez pas la peur vous faire prendre une décision dans la précipitation. Un faux mail « LastPass piraté, sécurisez votre compte ici » va forcément arriver. C’est lui, le vrai danger des prochains jours, pas la fuite elle-même.

Cela pourrait aussi vous intéresser

Que faire si votre e-shop a été piraté ? KB5094126 brique votre PC : comment vérifier si vous êtes à risque (et vous en sortir) Comment empêcher votre smartphone Android de vous écouter et de vous espionner ? Pourquoi vos colis mettent plus de temps à arriver qu’avant (et ce que vous pouvez faire)