Avis LastPass après la faille de 2022 : peut-on encore lui faire confiance ?
# Avis LastPass après la faille de 2022 : peut-on encore lui faire confiance ?
**Ma réponse courte :** Non, je ne recommande plus LastPass en 2025. Pas parce qu’il est mauvais techniquement, mais parce que la gestion de la faille de 2022 a profondément ébranlé la confiance que l’on peut lui accorder. Voici une analyse complète et honnête.
LastPass a été pendant des années le gestionnaire de mots de passe le plus utilisé au monde. En 2019, quand j’ai été moi-même victime d’un piratage de compte, beaucoup de mes confrères me conseillaient LastPass. J’ai eu la chance (ou le bon sens) de choisir 1Password à l’époque. Ce qui s’est passé en 2022 m’a confirmé que c’était la bonne décision.
## Ce qui s’est passé en 2022 : les faits
En août 2022, LastPass annonce un **premier incident de sécurité** : un accès non autorisé à son environnement de développement. L’entreprise minimise l’impact, assure que les données des clients sont sécurisées.
En décembre 2022, **la vérité éclate** : LastPass révèle qu’un attaquant a utilisé les données volées en août pour accéder aux serveurs cloud tiers et exfiltrer des **coffres chiffrés d’utilisateurs**.
**Ce qui a été volé :**
– Des copies chiffrées des coffres de nombreux utilisateurs
– Des **métadonnées non chiffrées** (URLs des sites, noms des entrées, emails)
– Des informations d’adresses IP et données de facturation
**Ce qui N’a pas été volé :**
– Les mots de passe maîtres (jamais transmis aux serveurs)
– Les données chiffrées restent inaccessibles avec un mot de passe maître fort
## Pourquoi c’est quand même grave
### Le problème des métadonnées
La liste des sites pour lesquels vous avez des comptes, même chiffrée, représente une information sensible. Un attaquant qui sait que vous utilisez une certaine banque, une certaine messagerie crypto, certains services médicaux, peut cibler ses attaques de phishing de façon extrêmement précise.
### Le problème des mots de passe maîtres faibles
LastPass recommandait (mais ne forçait pas toujours) des mots de passe maîtres robustes. Des chercheurs en sécurité ont établi que certains utilisateurs avec des mots de passe faibles ou des itérations PBKDF2 insuffisantes ont probablement eu leurs coffres déchiffrés.
### La gestion catastrophique de la communication
Le vrai problème n’est pas uniquement technique. C’est la façon dont LastPass a géré la crise :
– **Minimisation initiale** en août 2022
– **Révélation tardive** et incomplète en décembre
– **Langage technique opaque** pour masquer la gravité
– **Pas de notification directe** proactive à tous les utilisateurs à risque
Quand une entreprise qui stocke vos secrets les plus précieux gère une crise de cette façon, la confiance est difficile à reconstruire.
## L’état de LastPass en 2025
LastPass a pris des mesures depuis l’incident :
– Séparation de l’infrastructure de développement et de production
– Augmentation des itérations PBKDF2 par défaut
– Nouveaux audits de sécurité
– Réorganisation de l’équipe sécurité
La version 2025 de LastPass est techniquement plus sécurisée que celle de 2022. Mais :
1. La confiance ne se reconstruit pas en quelques mois
2. Les migrations vers 1Password et Bitwarden massives ont réduit la base d’utilisateurs, donc potentiellement les ressources pour la sécurité
3. LastPass appartient à GoTo (anciennement LogMeIn) qui a lui-même subi une violation en 2022
## Fonctionnalités actuelles de LastPass
Pour être juste, LastPass 2025 reste un produit fonctionnel :
– Interface utilisateur claire et bien conçue
– Remplissage automatique efficace
– Générateur de mots de passe complet
– Partage sécurisé
– Security Dashboard avec score de santé
– Applications pour toutes les plateformes
Le plan gratuit permet désormais un seul type d’appareil (mobile OR desktop, pas les deux), ce qui l’a rendu bien moins attractif qu’avant.
## Tarifs LastPass 2025
| Plan | Prix | Limites |
|——|——|——–|
| Gratuit | 0€ | 1 type d’appareil seulement |
| Premium | 3,00€/mois | Tous appareils, 1 Go stockage |
| Famille | 4,00€/mois | 6 membres |
Le pricing est comparable à 1Password mais difficile à justifier compte tenu de la réputation actuelle.
## Que faire si vous utilisez encore LastPass ?
**Ma recommandation : migrez dès maintenant.** Pas parce que LastPass est forcément en danger aujourd’hui, mais parce que :
1. Il existe de meilleures alternatives au même prix ou moins cher
2. La gestion de crise de 2022 suggère des problèmes culturels autant que techniques
3. Migrer maintenant, calmement, est toujours préférable à migrer dans la panique après un futur incident
**Les meilleures alternatives :**
– **1Password** : la meilleure expérience globale, même prix
– **Bitwarden** : open source, gratuit ou 10$/an
– **NordPass** : moderne, XChaCha20
La migration depuis LastPass vers ces alternatives est bien documentée et guidée dans les interfaces. Je ferai un guide détaillé dans un prochain article.
## Mon verdict final
LastPass reste un gestionnaire de mots de passe techniquement correct en 2025. Mais dans un secteur où la confiance est absolument fondamentale, la gestion calamiteuse de l’incident 2022 laisse des doutes persistants. Avec des alternatives aussi solides disponibles (souvent moins chères), il n’y a objectivement pas de bonne raison de rester chez LastPass si vous cherchez aujourd’hui votre premier gestionnaire MDP.
Si vous êtes déjà client et que tout fonctionne bien, la menace immédiate est limitée si votre mot de passe maître était fort. Mais planifiez la migration.
[CTA:lastpass]
[IMAGE:data breach warning concept with broken lock and warning shield icons, dark navy background, red and orange alert colors, NO PEOPLE, no faces, cybersecurity vulnerability visualization, cracked digital vault]