Publié le 25 octobre 2025. LastPass alerte ses utilisateurs sur une campagne de phishing sophistiquée exploitant les procédures d’héritage pour voler les mots de passe maîtres. L’arnaque, surnommée « Are You Dead ? », se fait passer pour une demande de succession urgente afin de tromper les victimes.
- Une nouvelle vague de phishing cible les mots de passe maîtres LastPass en se faisant passer pour une procédure d’héritage.
- Les cybercriminels envoient des e-mails prétextant le téléchargement d’un certificat de décès pour débloquer un compte.
- LastPass rappelle qu’aucun employé de l’entreprise ne demandera jamais le mot de passe maître.
Bien que le compte de messagerie soit une cible privilégiée pour les pirates, notamment avec la recrudescence des attaques par e-mail ciblant les utilisateurs de services comme Gmail, il existe un mot de passe unique qui détient véritablement les clés de votre univers numérique : le mot de passe maître de votre gestionnaire de mots de passe. Il n’est donc pas surprenant que les cybercriminels redoublent d’efforts pour s’en emparer. LastPass, l’un des gestionnaires les plus populaires, n’est pas épargné par ces tentatives. L’entreprise a récemment mis en garde ses utilisateurs contre une attaque en cours qui exploite le processus d’héritage de son service pour permettre aux membres de la famille d’accéder aux anciens coffres-forts des utilisateurs. Ce programme d’hameçonnage, baptisé « Are You Dead ? », représente une menace sérieuse pour la sécurité du mot de passe maître LastPass.
L’arnaque « Are You Dead ? » décryptée
Dans le domaine des leurres d’hameçonnage, la question « Êtes-vous mort ? » posée à une potentielle victime peut sembler pour le moins inhabituelle. Pourtant, le succès de cette arnaque repose sur une exécution subtile. Pour commencer, les e-mails semblent émaner d’une adresse d’alerte LastPass légitime. Ensuite, le libellé est astucieusement conçu pour attirer l’attention, notamment par son caractère étrange. L’objet « Demande d’héritage ouverte (URGENT SI VOUS N’ÊTES PAS DÉCÉDÉ) » crée un sentiment d’urgence, bien que l’usage excessif des majuscules devrait normalement alerter les destinataires, aucune organisation sérieuse n’adoptant un tel formatage. Le corps du message débute par une affirmation troublante : « Un certificat de décès a été téléchargé par un membre de la famille pour retrouver l’accès au compte LastPass XXXXXXXXXXXXX. »
« L’e-mail poursuit en indiquant qu’un dossier a été ouvert et inclut des informations fabriquées concernant un agent censé être affecté à cette affaire », prévient LastPass. « Ces informations comprennent un numéro d’identification d’agent, la date d’ouverture du dossier et sa priorité, qui sont toutes fictives. »
Comme c’est souvent le cas, une fois la confiance établie, un lien est proposé. Dans ce scénario, il dirige la victime présumée vers ce qui se présente comme une demande d’annulation, mais qui vise en réalité à dérober les identifiants en sollicitant le mot de passe maître LastPass. Ironiquement, les attaquants rappellent même à la victime de ne jamais partager son mot de passe maître, soulignant l’importance de la sécurité. Pourtant, comme LastPass l’a confirmé : « Personne chez LastPass ne vous demandera jamais votre mot de passe maître. »
LastPass recommande aux utilisateurs de transférer tout e-mail suspect à l’adresse abuse@lastpass.com. L’entreprise a également indiqué être informée que des attaquants utilisaient des appels téléphoniques dans le cadre de cette campagne et invite à signaler ces appels à la même adresse.