Fin juin 2026, LastPass a confirmé une nouvelle fuite de données - mais le titre exige une mise au point immédiate et honnête : il ne s'agit pas d'une nouvelle faille des coffres. Les attaquants ont atteint des données support et de contact stockées dans l'environnement Salesforce de LastPass, tandis que LastPass a déclaré que ses produits, services et infrastructures n'étaient pas affectés et que les coffres de mots de passe des clients restaient sécurisés. Voici ce qui s'est réellement passé, ce que cela signifie, et quoi faire.
Ce qui s'est passé
LastPass a confirmé que des attaquants avaient accédé à des données de tickets support stockées dans son environnement Salesforce. Les informations exposées comprennent les noms, numéros de téléphone, adresses e-mail et adresses postales des clients, des données de tickets support et des enregistrements liés aux ventes.
Le point crucial, énoncé par LastPass lui-même : ses produits, services et infrastructures n'étaient pas affectés, et les coffres de mots de passe des clients restaient sécurisés. Autrement dit, cet incident concerne des données support et CRM de contact, pas le coffre chiffré où vivent vos identifiants enregistrés. Cette distinction est ce qui le sépare de la très commentée fuite des sauvegardes de coffre de 2022, et il vaut mieux la garder à l'esprit avant de réagir. Si vous pesiez le bilan de la plateforme, notre analyse pour savoir si LastPass est-il sûr replace tout cela dans son contexte.
Comment c'est arrivé - une attaque sur la chaîne d'approvisionnement Klue
La cause racine n'est pas une intrusion chez LastPass. C'est une attaque sur la chaîne d'approvisionnement visant Klue, une plateforme tierce de veille marché utilisée par les équipes commerciales de LastPass et qui s'intègre à Salesforce et Gong.
Vers le 12 juin 2026, un acteur malveillant désigné comme Icarus a utilisé des identifiants hérités compromis d'un service d'intégration pour pénétrer Klue. De là, les attaquants ont volé des jetons OAuth donnant accès aux tickets support Salesforce de LastPass. Un outil de confiance connecté est devenu le maillon faible - et cette connexion a discrètement transporté l'accès jusqu'au CRM de LastPass.
LastPass n'était pas la seule victime. Le même incident Klue aurait aussi touché Recorded Future, Tanium, Jamf, Sprout Social, Gong et Insurity.

Pourquoi ça compte même si vous n'utilisez pas LastPass
Deux raisons. D'abord, les attaques sur la chaîne d'approvisionnement sont le problème de tous : un seul fournisseur compromis peut exposer les données de nombreuses entreprises d'un coup, ce qui explique précisément pourquoi le même incident a touché plusieurs organisations sans lien entre elles. Les outils connectés dont dépendent vos services font partie de votre surface d'attaque.
Ensuite, même si vos mots de passe n'ont pas été exposés, les données de contact fuitées alimentent le phishing. Des attaquants détenant votre nom, votre e-mail, votre numéro et le fait que vous êtes client de LastPass peuvent concevoir de fausses « alertes de sécurité » très convaincantes. Les données qui ont fuité sont exactement ce qui rend une arnaque crédible.
Que faire
Comme votre coffre n'a pas été compromis, ce n'est pas une réinitialisation en urgence de tous vos mots de passe. La bonne réponse est calme et ciblée :
- Attendez-vous au phishing, et ralentissez. Méfiez-vous de tout e-mail, appel ou SMS inattendu mentionnant LastPass, une « faille » ou votre compte. Ne cliquez pas sur leurs liens ; allez directement sur le site officiel. Une entreprise légitime ne vous demandera jamais votre mot de passe maître.
- Vérifiez que la double authentification est active. Avec la 2FA (idéalement une appli d'authentification ou une clé matérielle - pas le SMS), même un mot de passe hameçonné est bien plus difficile à exploiter.
- Utilisez un mot de passe unique partout. Cette faille n'a pas exposé de mots de passe de coffre, mais un mot de passe unique par site reste la base qui limite l'onde de choc de toute fuite future.
- Pesez vos options. Si des incidents répétés ont entamé votre confiance, comparer les fournisseurs est légitime. Notre guide des meilleures alternatives à LastPass détaille les compromis.
À retenir
Le résumé honnête : les coffres de LastPass n'ont pas été violés en juin 2026 - c'est une plateforme tierce nommée Klue qui l'a été, exposant des données support et de contact via une intégration connectée. Le danger pratique, c'est le phishing ciblé bâti à partir des coordonnées fuitées, pas des mots de passe volés. Restez vigilant face aux messages évoquant la faille, gardez la 2FA active et des mots de passe uniques partout, et choisissez votre fournisseur sur les faits plutôt que sur la peur.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Verrouille tes comptes → NordPassMots de passe forts et uniques · scanner de fuites · offre gratuite→Questions fréquentes
Mon coffre de mots de passe LastPass a-t-il été compromis dans la faille de 2026 ?
Non. LastPass a déclaré que ses produits, services et infrastructures n'étaient pas affectés et que les coffres de mots de passe des clients restaient sécurisés. L'incident de juin 2026 a exposé des données de tickets support et de contact (noms, numéros de téléphone, e-mails et adresses postales) stockées dans son environnement Salesforce, pas les coffres chiffrés où vivent vos mots de passe. C'est la distinction clé avec la fameuse faille des coffres de 2022 : celle-ci impliquait des copies de sauvegarde de données de coffre, pas celle-ci.
Qu'est-ce qui a exactement fuité dans la faille LastPass de juin 2026 ?
Selon LastPass, les attaquants ont accédé à des données de tickets support et à des enregistrements liés aux ventes conservés dans son CRM Salesforce. Les champs exposés comprennent les noms, numéros de téléphone, adresses e-mail et adresses postales des clients. Il n'existe aucun chiffre public vérifié sur le nombre de clients touchés : méfiez-vous donc de tout décompte précis que vous pourriez voir. Vos identifiants enregistrés et votre mot de passe maître ne faisaient pas partie de ce jeu de données.
Comment les attaquants sont-ils entrés si LastPass lui-même n'a pas été piraté ?
La cause racine est une attaque sur la chaîne d'approvisionnement visant Klue, une plateforme de veille marché utilisée par les équipes commerciales de LastPass et qui s'intègre à Salesforce et Gong. Vers le 12 juin 2026, un acteur malveillant désigné comme Icarus a utilisé des identifiants hérités compromis d'un service d'intégration pour pénétrer Klue, puis a volé des jetons OAuth donnant accès aux tickets support Salesforce de LastPass. Le maillon faible était donc un outil de confiance connecté, pas les systèmes propres de LastPass.
LastPass était-il la seule entreprise touchée par l'incident Klue ?
Non. Le même incident sur la chaîne d'approvisionnement Klue aurait touché plusieurs autres organisations, dont Recorded Future, Tanium, Jamf, Sprout Social, Gong et Insurity. Ce type d'attaque frappe d'un coup de nombreux clients d'un seul fournisseur compromis, ce qui explique en partie son impact.
Que dois-je faire après la faille LastPass de 2026 ?
Comme votre coffre n'a pas été exposé, inutile de réinitialiser tous vos mots de passe dans la panique. Le vrai risque est le phishing ciblé exploitant les coordonnées fuitées. Donc : méfiez-vous des e-mails, appels ou SMS inattendus mentionnant LastPass ou votre compte, ne cliquez jamais sur leurs liens, et contactez LastPass uniquement via le site officiel. Vérifiez que la double authentification est active, assurez-vous que chaque compte a un mot de passe unique, et demandez-vous si un fournisseur à l'historique plus propre vous conviendrait mieux.



