LastPass Piraté : le coffre-fort numérique de vos mots de passes pris pour cible
ID Protect alerte sur un nouvel incident de cybersécurité touchant LastPass, l’un des gestionnaires de mots de passe les plus utilisés au monde.
Le 24 juin 2026, l’entreprise a confirmé qu’une fuite de données affectait une partie de ses clients à la suite d’une compromission survenue chez l’un de ses prestataires technologiques, la société Klue. Si les coffres-forts de mots de passe n’ont pas été compromis, plusieurs données personnelles ont été exposées.
Cette affaire rappelle une réalité de plus en plus fréquente : une entreprise peut parfaitement sécuriser ses propres systèmes tout en restant vulnérable à une attaque visant l’un de ses fournisseurs.
Dans cet article, ID Protect revient sur les données concernées, les risques concrets pour les utilisateurs et les mesures à adopter immédiatement.
Une attaque qui ne visait pas directement LastPass
Selon les informations publiées par LastPass, l’origine de l’incident ne se situe pas dans son infrastructure principale mais chez Klue, une plateforme d’intelligence concurrentielle utilisée par l’entreprise.
Les cybercriminels seraient parvenus à dérober des jetons OAuth, leur permettant d’accéder à certaines données hébergées dans les outils Salesforce utilisés par LastPass.
Autrement dit, il ne s’agit pas d’un piratage des coffres-forts contenant les mots de passe, mais d’une compromission des systèmes utilisés pour la relation client.
Cette nuance est importante, mais elle ne supprime pas les risques pour les personnes concernées.
Quelles données ont été exposées ?
Selon LastPass, les informations potentiellement compromises comprennent notamment :
- nom et prénom ;
- adresse e-mail ;
- numéro de téléphone ;
- adresse postale ;
- informations relatives aux demandes d’assistance ;
- échanges commerciaux avec LastPass.
En revanche, l’entreprise affirme que les mots de passe principaux, les coffres-forts et les mots de passe enregistrés n’ont pas été compromis.
Pourquoi cette fuite reste préoccupante
L’absence de vol de mots de passe ne signifie pas que les utilisateurs sont à l’abri.
Au contraire.
Les informations divulguées permettent aux cybercriminels de construire des attaques particulièrement crédibles.
Un pirate connaissant votre identité, votre numéro de téléphone et le fait que vous utilisez LastPass pourra par exemple se faire passer pour :
- le support technique LastPass ;
- votre banque ;
- un fournisseur informatique ;
- Microsoft ou Google ;
- un service de sécurité informatique.
Ces attaques reposent sur ce que l’on appelle le phishing ciblé ou le social engineering, deux techniques qui exploitent davantage la confiance des victimes que des failles techniques.
Une nouvelle affaire dans une série déjà longue
Cette fuite intervient alors que LastPass a déjà connu plusieurs incidents de sécurité majeurs ces dernières années.
En 2022, deux cyberattaques successives avaient conduit au vol d’une partie du code source de l’entreprise puis à l’exposition de données clients, notamment des adresses e-mail, coordonnées et sauvegardes chiffrées de coffres-forts.
En 2020, une panne importante avait empêché de nombreux utilisateurs d’accéder à leurs comptes.
En 2019, une vulnérabilité découverte par des chercheurs permettait d’exposer certains identifiants de connexion.
Même si l’incident de juin 2026 est directement lié à un fournisseur tiers, il rappelle que les gestionnaires de mots de passe restent des cibles privilégiées des cybercriminels.
Les quatre mesures à prendre immédiatement
Si vous êtes utilisateur de LastPass, plusieurs réflexes sont recommandés.
1. Vérifiez les communications reçues
Soyez particulièrement vigilant face aux e-mails, SMS ou appels prétendant provenir de LastPass.
Ne cliquez jamais sur un lien reçu sans avoir vérifié son authenticité.
2. Méfiez-vous des appels téléphoniques
Les fraudeurs disposent désormais de suffisamment d’informations pour rendre leurs scénarios très crédibles.
Aucun conseiller LastPass ne vous demandera votre mot de passe principal par téléphone.
3. Renforcez la sécurité de votre compte
Même si LastPass indique que les coffres-forts n’ont pas été compromis, il peut être pertinent de modifier votre mot de passe principal si celui-ci est ancien ou insuffisamment robuste.
Activez également l’authentification multifacteur si ce n’est pas déjà fait.
4. Surveillez vos autres comptes
Les données issues d’une fuite sont souvent revendues puis recoupées avec d’autres bases compromises.
Une simple adresse e-mail peut servir de point de départ à des campagnes de phishing particulièrement sophistiquées.
Une nouvelle illustration du risque lié aux fournisseurs
Cette affaire illustre parfaitement une tendance de fond : les cybercriminels ne ciblent plus uniquement les entreprises finales.
Ils cherchent désormais à compromettre les prestataires qui disposent d’un accès privilégié aux données de plusieurs organisations.
Une seule attaque contre un fournisseur peut ainsi affecter simultanément des dizaines d’entreprises.
Selon les informations publiées, d’autres sociétés utilisant Klue auraient également été concernées, parmi lesquelles HackerOne, Jamf, OneTrust, Recorded Future, Snyk ou encore Tanium.
Cette stratégie, appelée attaque de la chaîne d’approvisionnement (Supply Chain Attack), connaît une forte progression depuis plusieurs années.
ID Protect : une fuite de données reste toujours un signal d’alerte
Cette nouvelle compromission rappelle qu’aucune organisation n’est totalement à l’abri d’une fuite de données, même lorsqu’elle s’appuie sur des partenaires spécialisés.
Chez ID Protect, nous recommandons de considérer toute fuite de données comme un signal d’alerte. Même lorsque les mots de passe ne sont pas compromis, les informations d’identité et de contact exposées peuvent suffire à alimenter des campagnes de phishing, des tentatives d’usurpation d’identité ou des escroqueries personnalisées.
