LastPass subit sa troisième fuite de données en deux ans. En juin 2026, un partenaire externe a été piraté, exposant des informations personnelles. Les coffres-forts chiffrés restent intacts, mais la confiance s’effrite. Pour les utilisateurs français, cette récidive pose un risque concret : fuites d’emails, adresses ou numéros de téléphone. Avec le RGPD, les entreprises doivent réagir vite. Voici ce qu’il faut savoir sur les dangers et les alternatives.
LastPass : un gestionnaire de mots de passe sous haute tension
LastPass est l’un des gestionnaires de mots de passe les plus utilisés au monde. Il stocke et chiffre les identifiants de millions d’utilisateurs. Pourtant, depuis 2022, l’entreprise cumule les incidents de sécurité. Cette nouvelle fuite, via un partenaire externe, relance les débats sur la fiabilité de ces outils.
En France, des milliers d’entreprises et de particuliers utilisent LastPass. La répétition des fuites interroge : peut-on encore faire confiance à un service aussi exposé ? Les données personnelles, même non critiques, deviennent des cibles pour les cybercriminels.
Ce que l’on sait de la fuite de juin 2026
LastPass a révélé l’incident le 23 juin 2026. Voici les faits clés :
- Attaque via un partenaire externe, pas directement sur les serveurs de LastPass.
- Données personnelles exposées : emails, adresses, numéros de téléphone.
- Coffres-forts chiffrés non compromis, selon l’entreprise.
- Nombre d’utilisateurs affectés non communiqué (secret gardé par LastPass).
- Notification aux utilisateurs envoyée avec 48h de retard par rapport à la découverte.
- Aucune information sur l’identité du partenaire piraté.
Cette opacité inquiète. Les experts soulignent que les fuites répétées fragilisent la réputation de LastPass. Même si les mots de passe restent protégés, les données annexes suffisent pour des attaques ciblées (phishing, usurpation).
LastPass vs. alternatives : quel gestionnaire choisir ? (Tableau comparatif)
Face aux risques, les utilisateurs cherchent des alternatives. Voici une comparaison des solutions les plus sécurisées en 2026 :
| Gestionnaire | Chiffrement | Stockage des données | Fuite majeure (2022-2026) |
|---|---|---|---|
| LastPass | AES-256 | Cloud (serveurs propriétaires) | 3 fuites (2022, 2024, 2026) |
| Bitwarden | AES-256 | Cloud (open source) ou auto-hébergé | 0 fuite |
| 1Password | AES-256 + Secret Key | Cloud (serveurs sécurisés) | 0 fuite |
| KeePass | AES-256 | Local (fichier chiffré) | 0 fuite |
| NordPass | XChaCha20 | Cloud (serveurs NordVPN) | 1 fuite (2023) |
Cybersécurité et RGPD : quels risques pour les utilisateurs français ?
Obligations légales en cas de fuite
En Europe, le RGPD impose aux entreprises de notifier les fuites sous 72h. LastPass a respecté ce délai, mais sans transparence sur l’étendue des données exposées. Les utilisateurs français peuvent exiger des détails via la CNIL. Une plainte collective est envisageable si la négligence est prouvée.
Risques concrets pour les particuliers et entreprises
Même sans vol de mots de passe, les données personnelles fuitées sont dangereuses. Les pirates les utilisent pour du phishing ciblé ou des attaques par force brute. Pour les entreprises, une fuite chez un partenaire externe peut entraîner des sanctions RGPD (jusqu’à 4% du CA).
Que retenir de cette nouvelle fuite ?
- LastPass cumule 3 fuites en 2 ans : la confiance est érodée, même si les coffres-forts restent sécurisés.
- Les données personnelles (emails, adresses) sont des cibles faciles pour les cybercriminels.
- Les alternatives comme Bitwarden ou 1Password offrent une sécurité équivalente sans antécédents de fuites.
- Le RGPD impose des obligations strictes : les entreprises doivent auditer leurs partenaires externes.
- En cas de fuite, changez immédiatement les mots de passe exposés et activez la double authentification.
❓ Questions fréquentes
Faut-il quitter LastPass après cette fuite ?
Oui, si vous cherchez une solution sans antécédents de fuites. Bitwarden ou 1Password sont des alternatives fiables. Si vous restez, renforcez la sécurité avec une clé physique (YubiKey).
Mes mots de passe sont-ils en danger ?
Non, les coffres-forts chiffrés n’ont pas été compromis. Mais les données personnelles exposées peuvent servir à des attaques ciblées (phishing, usurpation).
Que faire si mon entreprise utilise LastPass ?
Auditez les accès et changez les mots de passe critiques. Vérifiez la conformité RGPD et envisagez une migration vers une solution plus sécurisée. Documentez les mesures prises pour éviter des sanctions.
En résumé
Cette troisième fuite en deux ans marque un tournant pour LastPass. Les utilisateurs français doivent évaluer les risques : données personnelles exposées, obligations RGPD, et alternatives plus sûres. La cybersécurité ne tolère plus les répétitions. Pour les entreprises, c’est un rappel brutal : un partenaire compromis peut tout faire basculer. Agissez avant la prochaine faille.
📚 À lire aussi
- 2026 : Dashlane piraté, 50M mots de passe exposés, silence coupable
- 2026 : Dashlane piraté, 20 coffres-forts de mots de passe volés
📷 Image : Lou Zehner via Pexels
Anis Flazi est le fondateur et rédacteur en chef d'IA Codex. Diplômé de la Sorbonne en systèmes d'information et de connaissances, il évolue depuis plus de 10 ans dans le marketing digital (publicité Meta, Google et TikTok, en agence, chez l'annonceur et en freelance). Cette double culture, technique et terrain, l'a conduit à adopter l'intelligence artificielle dès ses débuts : d'abord appliquée à ses campagnes, puis étendue à l'ensemble de ses projets. Il teste aujourd'hui les outils et modèles d'IA au quotidien pour décrypter, sans hype ni jargon, ce qui change vraiment pour les professionnels francophones.
Tous les articles de Anis →