Vous avez reçu un certificat de décès dans votre boîte mail LastPass ? Il est préférable de ne pas l’ouvrir.
Le gestionnaire de mots de passe LastPass fait face à une étrange attaque de phishing : les utilisateurs reçoivent leur propre certificat de décès dans leur boîte mail. Un membre de la famille aurait mis le certificat en ligne, et ils risqueraient de perdre l’accès à leur compte. C’est pour le moins un e-mail surprenant quand on est encore en vie.
Que se passe-t-il ?
Les utilisateurs reçoivent des e-mails de ‘alerts@lastpass.com’ indiquant que quelqu’un a téléchargé leur certificat de décès, et qu’ils doivent se connecter pour le consulter et le marquer comme faux. L’objectif des hackers est de déstabiliser suffisamment les personnes pour qu’elles cliquent sur un lien malveillant dans l’e-mail. Ils obtiennent ainsi l’accès à tous les mots de passe stockés dans le gestionnaire de mots de passe LastPass.
Selon un article de blog de LastPass, certaines victimes reçoivent même des appels téléphoniques pour les guider dans le processus. Cela fonctionne si bien car LastPass dispose effectivement d’un
Déjà actif
Google Threat Intelligence a identifié que cette campagne a été mise en place par le groupe de hackers CryptoChameleon (ou UNC5356). Comme leur nom le suggère, ils se concentrent généralement sur le vol de cryptomonnaies. La campagne de phishing est active depuis la mi-octobre 2025.