LastPass fut un temps un leader incontesté et une recommandation facile. Aujourd’hui, malgré une interface utilisateur qui reste conviviale et un éventail de fonctionnalités complet, son passé en matière de sécurité jette une ombre considérable. La confiance, élément fondamental pour un gestionnaire de mots de passe, a été sérieusement entamée. L’entreprise affirme avoir pris des mesures correctives importantes , mais le chemin pour regagner la confiance des utilisateurs sera long. Il est difficile de le conseiller sans émettre de sérieuses réserves, surtout lorsque des alternatives solides existent sur le marché.
Le paradoxe de LastPass réside dans cette tension : une facilité d’utilisation reconnue face à des failles de confiance profondes. Un utilisateur est en droit d’attendre à la fois sécurité et commodité; si la première est compromise, la seconde perd une grande partie de sa valeur. De plus, la modification de l’offre gratuite, qui limite désormais l’accès à un seul type d’appareil , a changé la donne pour les nouveaux venus ou ceux aux besoins basiques, les poussant davantage vers les offres payantes ou vers des concurrents plus généreux sur ce point. Voyons tout cela dans ce test détaillé afin de voir si LastPass constitue encore un choix judicieux aujourd’hui.
À qui s’adresse LastPass principalement ?
LastPass peut encore intéresser les particuliers et les familles à la recherche d’une solution de gestion de mots de passe multiplateforme dotée d’un ensemble de fonctionnalités robustes, à condition qu’ils soient prêts à opter pour un plan payant pour un accès complet et qu’ils aient évalué les risques liés à l’historique de sécurité. Les entreprises, notamment les PME, pourraient également le considérer, mais une diligence raisonnable approfondie est indispensable.
Points forts 👍:
- Interface utilisateur généralement perçue comme intuitive et facile à prendre en main.
- Large compatibilité multiplateforme (ordinateurs, mobiles, navigateurs).
- Ensemble complet de fonctionnalités, incluant un générateur de mots de passe, le remplissage automatique, le partage sécurisé (avec nuances selon le plan), la surveillance du dark web et l’accès d’urgence (pour les plans payants).
- Modèle de chiffrement zero-knowledge qui, sur le papier, est robuste (AES-256, PBKDF2).
Points faibles 👎 :
- Historique préoccupant d’incidents de sécurité majeurs, en particulier la brèche de 2022 qui a mené au vol de coffres-forts chiffrés de clients.
- Le plan gratuit est désormais très limité, principalement par la restriction à un seul type d’appareil.
- Support client fréquemment critiqué pour sa lenteur et son manque d’efficacité, y compris pour les utilisateurs des offres payantes.
- Confiance significativement ébranlée au sein de la communauté des utilisateurs et parmi les experts en cybersécurité.
Note globale : 6.5/10 (Note indicative susceptible d’évoluer après une analyse complète et continue des efforts de l’entreprise).
Introduction à LastPass : le géant de la gestion de mots de passe
Qu’est-ce que LastPass: un bref historique et sa position sur le marché
LastPass, fondé en 2008, s’est rapidement imposé comme l’un des noms les plus reconnaissables et utilisés dans le domaine de la gestion de mots de passe. Fort de millions d’utilisateurs personnels et servant des dizaines de milliers d’entreprises, il a longtemps été une référence. Son parcours a connu un tournant majeur en 2015 avec son acquisition par LogMeIn (devenu par la suite GoTo) pour la somme de 110 millions de dollars. Plus récemment, en avril 2024, LastPass a été détaché de GoTo pour redevenir une entreprise indépendante. Cette scission a été présentée comme une démarche stratégique visant à permettre à LastPass de concentrer ses efforts et ses ressources « uniquement sur les améliorations de la sécurité » , une annonce qui prend tout son sens au vu des défis sécuritaires rencontrés par l’entreprise sous l’égide de GoTo.
La part de marché de LastPass demeure significative, particulièrement en Amérique du Nord, ce qui témoigne de sa popularité historique et de sa large adoption. Cette position de leader, construite sur des années de présence, est cependant aujourd’hui confrontée à une érosion de la confiance due à des incidents de sécurité notables. La scission de GoTo pourrait donc être interprétée de multiples façons : une réelle volonté de redresser la barre en matière de sécurité avec une plus grande autonomie, ou une tentative de distancier la marque des problèmes passés. L’avenir dira si cette indépendance se traduira par des améliorations tangibles et une transparence accrue.
La vision de LastPass et à qui s’adresse-t-il (particuliers, familles, entreprises)?
La mission affichée par LastPass est de simplifier la vie numérique de ses utilisateurs en sécurisant leurs informations critiques et en les rendant accessibles partout et à tout moment. Pour ce faire, le service s’adresse à un public très large. Il cible d’abord les particuliers, avec des offres gratuites et premium. Ensuite, il propose des solutions pour les familles, permettant de gérer jusqu’à six comptes membres. Enfin, LastPass déploie une gamme d’offres pour les entreprises de toutes tailles, allant des petites et moyennes entreprises (PME) aux grandes structures.
Un segment particulièrement visé est celui des PME comptant de 0 à 3 000 employés, qui disposent souvent de ressources informatiques limitées. Pour ces dernières, la facilité d’utilisation et les fonctionnalités de sécurité de LastPass sont mises en avant comme des atouts majeurs. Si cette large cible peut être une force, assurant une grande popularité et une base d’utilisateurs diversifiée, elle peut aussi représenter un défi pour répondre de manière optimale aux besoins parfois très spécifiques de chaque segment.
La tension est palpable entre une base d’utilisateurs massive, qui atteste d’une popularité et d’une facilité d’utilisation perçues, et la confiance érodée suite aux failles de sécurité. Pour un service dont la mission principale est la sécurité , ces failles sont particulièrement dommageables. La question centrale est de savoir si la commodité et l’écosystème établi peuvent encore contrebalancer les préoccupations légitimes en matière de sécurité.
Modèle économique: entre gratuit et payant
LastPass opère sur un modèle économique freemium, une approche courante dans le secteur des logiciels. Il propose une version gratuite qui inclut les fonctionnalités de base mais comporte des limitations notables, la plus significative étant la restriction à un seul type d’appareil (soit ordinateurs, soit appareils mobiles) pour la synchronisation.
Pour débloquer l’ensemble des fonctionnalités, comme la synchronisation illimitée entre tous les types d’appareils, le partage étendu, l’accès d’urgence et un stockage de fichiers plus conséquent, les utilisateurs doivent se tourner vers les abonnements payants : Premium pour les individus, Families pour les foyers, et Teams ou Business pour les environnements professionnels.
Ce modèle freemium a subi une modification importante qui a redéfini la proposition de valeur de LastPass, notamment face à certains concurrents. Alors que l’offre gratuite était autrefois l’une des plus généreuses du marché, sa restriction actuelle la rend moins attractive pour de nombreux utilisateurs potentiels.
Fonctionnalités clés de LastPass: que peut-il faire pour vous? 🛡️
LastPass propose une gamme étendue de fonctionnalités conçues pour simplifier la gestion des identifiants et renforcer la sécurité en ligne.
Gestion des mots de passe et des identifiants
Au cœur de LastPass se trouve le coffre-fort sécurisé, capable de stocker un nombre illimité de mots de passe, d’identifiants de connexion, d’adresses postales, de détails de cartes de crédit, et d’autres informations sensibles.
Ce coffre-fort permet une organisation structurée de ces données, facilitant leur accès et leur gestion. C’est la fonctionnalité fondamentale attendue de tout gestionnaire de mots de passe, et l’aspect « illimité » est un point positif.
Générateur de mots de passe et de noms d’utilisateur
Pour contrer la faiblesse des mots de passe créés par les humains, LastPass intègre un générateur capable de créer des mots de passe forts, uniques et personnalisables. Les utilisateurs peuvent définir la longueur souhaitée (LastPass recommande au moins 15-20 caractères , bien que la génération par défaut soit de 16 caractères ), et choisir d’inclure des majuscules, des minuscules, des chiffres et des symboles. Des options pour générer des mots de passe « faciles à dire » (évitant chiffres et symboles spéciaux) ou « faciles à lire » (évitant les caractères ambigus comme l, 1, O, 0) sont également disponibles.
Il est à noter une possible incohérence : les règles de génération par défaut et l’historique des mots de passe générés peuvent différer entre le coffre-fort web et les extensions de navigateur. Pour évaluer la robustesse des mots de passe créés, LastPass s’appuie sur la bibliothèque standard zxcvbn.
En complément, LastPass offre un générateur de noms d’utilisateur, conçu pour créer des identifiants aléatoires et uniques, contribuant ainsi à une meilleure protection de l’identité en ligne. Un bon générateur est crucial, et la personnalisation offerte est un atout.
Remplissage automatique (autofill)
L’une des fonctionnalités les plus appréciées pour sa commodité est le remplissage automatique. LastPass peut sauvegarder automatiquement les identifiants lors de la première connexion à un site et les remplir lors des visites suivantes. Il peut également pré-remplir des formulaires en ligne avec des adresses, des informations de cartes de crédit et d’autres données personnelles stockées dans le coffre-fort.
Cette fonction est généralement décrite comme fonctionnant bien et de manière non intrusive. Cependant, des ratés occasionnels ont été signalés. Par exemple, lors de tests avec l’extension Chrome, la fenêtre pop-up proposant de sauvegarder les identifiants pouvait apparaître tardivement ou enregistrer des informations incorrectes, obligeant à une sauvegarde manuelle. La fiabilité de cette fonction est essentielle, car des dysfonctionnements peuvent rapidement devenir une source de frustration.
Gestion des passkeys
Face à l’évolution des méthodes d’authentification, LastPass travaille activement sur l’intégration des passkeys, une technologie d’authentification sans mot de passe basée sur les standards FIDO2. Selon les informations disponibles, cette fonctionnalité était en phase de bêta interne avec une prévision de lancement public plus large pour la mi-2025, ciblant en premier lieu les applications grand public.
L’adoption des passkeys est une tendance de fond majeure. Que LastPass s’y engage est positif, mais le calendrier de déploiement pourrait le placer en léger décalage par rapport à certains concurrents qui ont déjà implémenté cette technologie, comme Bitwarden. Il sera important de suivre si LastPass respecte cet échéancier et comment son implémentation se comparera à celles existantes.
Compatibilité multiplateforme
LastPass se distingue par une large compatibilité, fonctionnant sur une vaste gamme d’appareils et de systèmes d’exploitation, incluant Windows, macOS, Linux, ChromeOS, iOS et Android. Des extensions sont disponibles pour les navigateurs web les plus populaires : Chrome, Firefox, Safari, Edge et Opera.
Pour les utilisateurs des plans payants, la synchronisation des données est automatique et illimitée sur tous les appareils approuvés.
En revanche, les utilisateurs de l’offre gratuite sont désormais limités à la synchronisation sur un seul type d’appareil : soit les ordinateurs (tous navigateurs sur ordinateurs de bureau et portables), soit les appareils mobiles (téléphones, montres connectées, tablettes).
Cette large compatibilité est un atout indéniable, bien que la restriction imposée aux utilisateurs gratuits constitue un inconvénient notable à l’ère du multi-équipement.
Partage sécurisé
LastPass permet le partage de mots de passe et de documents stockés dans le coffre-fort avec d’autres utilisateurs LastPass, qu’il s’agisse d’amis, de membres de la famille ou de collègues. Les modalités de partage varient cependant selon le plan :
- Le plan gratuit autorise uniquement le partage d’un élément avec une seule autre personne (partage un-à-un).
- Les plans Premium et Families permettent le partage d’un élément avec plusieurs personnes (partage un-à-plusieurs). Les comptes Families bénéficient en outre de la possibilité de partager un nombre illimité de dossiers.
Lors du partage, l’initiateur peut contrôler si le destinataire est autorisé à voir le mot de passe en clair. Une nuance importante concerne la synchronisation : les mises à jour d’un identifiant partagé individuellement ne sont pas automatiquement répercutées chez le destinataire; il est nécessaire de repartager l’élément mis à jour.
En revanche, les modifications apportées aux éléments contenus dans un dossier partagé sont synchronisées. Un identifiant individuel peut être partagé avec un maximum de 30 utilisateurs; au-delà, l’utilisation d’un dossier partagé est requise. Le partage est une fonctionnalité très utile, mais ses limitations dans le plan gratuit et les subtilités de synchronisation sont à connaître.
Fonctionnalités additionnelles
LastPass enrichit son offre avec plusieurs outils conçus pour améliorer la sécurité et la gestion des données.
- Tableau de bord de sécurité (security dashboard) : cet outil centralise l’évaluation de la sécurité de vos mots de passe. Il affiche un score de sécurité global, identifie les mots de passe jugés faibles, ceux qui sont réutilisés sur plusieurs sites, ou ceux qui sont trop anciens, et propose des recommandations personnalisées pour les améliorer. Ce tableau de bord, accessible en permanence, remplace l’ancien « Security Challenge ». Il aide les utilisateurs à prendre conscience des risques et à adopter de meilleures pratiques.
- Surveillance du dark web (dark web monitoring) : cette fonction alerte l’utilisateur si ses informations personnelles, telles que des adresses e-mail ou des couples identifiant/mot de passe, sont détectées sur le dark web à la suite de fuites de données provenant d’autres services. Ce service est opéré en partenariat avec la société Enzoic et est disponible même pour les utilisateurs du plan gratuit. C’est un outil de plus en plus standard, utile pour une détection précoce des compromissions.
- Accès d’urgence (emergency access) : cette fonctionnalité, réservée aux plans payants (Premium, Families, etc. ), permet de désigner un ou plusieurs contacts de confiance (qui doivent également être utilisateurs de LastPass) qui pourront demander l’accès à votre coffre-fort en cas d’urgence (maladie grave, incapacité, décès). Un délai d’attente peut être configuré par l’utilisateur principal; pendant ce délai, il peut refuser la demande d’accès si la situation le permet. Si aucune action n’est entreprise avant la fin du délai, l’accès est accordé. C’est une fonction cruciale pour la transmission de son patrimoine numérique.
- Notes sécurisées (secure notes) : LastPass permet de stocker de manière chiffrée des informations sensibles autres que les mots de passe, comme des codes Wi-Fi, des informations bancaires, des numéros de série, des copies de documents importants (passeports, cartes d’assurance, etc.). Les plans payants offrent 1 Go d’espace pour les fichiers attachés à ces notes, tandis que le plan gratuit est limité à 50 Mo. Bien que chiffrées, la sécurité de ces notes a été un point de préoccupation lors de l’incident de 2022, où des informations sensibles comme des phrases de récupération de cryptomonnaies qui y étaient stockées ont été compromises pour certains utilisateurs dont les coffres-forts ont été volés et les mots de passe maîtres étaient faibles. Cela souligne l’importance capitale de la robustesse du mot de passe maître.
- Authentification multifacteur (MFA) et connexion sans mot de passe au coffre-fort : pour renforcer la sécurité de l’accès au coffre-fort LastPass lui-même, une large gamme d’options MFA est supportée. Celles-ci incluent les applications d’authentification tierces (comme Google Authenticator, Microsoft Authenticator, Duo Security), l’application LastPass Authenticator elle-même, les codes OTP (mots de passe à usage unique), les notifications push, la biométrie (empreinte digitale, reconnaissance faciale) et les clés de sécurité matérielles (telles que YubiKey, généralement pour les plans payants). De plus, LastPass propose une connexion sans mot de passe au coffre-fort, qui peut s’effectuer via la biométrie, un authentificateur certifié FIDO2, ou l’application LastPass Authenticator. Pour les utilisateurs du plan gratuit, seule l’application LastPass Authenticator est disponible pour cette option sans mot de passe. La MFA est essentielle, et la variété des options est un avantage.
- Fonctionnalités pour entreprises (Teams, Business) : pour les professionnels, LastPass propose des outils de gestion centralisée des utilisateurs, une console d’administration, la définition de politiques de sécurité (plus de 100 pour le plan Business), des rapports d’activité avancés, et des intégrations avec des annuaires d’entreprise (Active Directory, Azure AD, Google Workspace, Okta). Le Single Sign-On (SSO) est également disponible, ainsi que la surveillance des applications SaaS pour le plan Business Max. Une particularité des plans Business est l’inclusion de « LastPass Families » pour les employés, étendant ainsi les bénéfices de la gestion des mots de passe à leur sphère privée. Ces offres sont robustes, mais certaines fonctionnalités avancées, comme le SSO illimité ou la MFA avancée pour les postes de travail, sont des modules complémentaires payants.
L’ensemble de ces fonctionnalités positionne LastPass comme une solution complète.
Cependant, l’expérience utilisateur rapportée n’est pas toujours à la hauteur des promesses. Des bugs occasionnels, des incohérences entre les plateformes (par exemple, des règles de générateur de mots de passe différentes ) ou une expérience utilisateur dégradée pour certaines extensions de navigateur (notamment Safari ) ont été signalés. Une fonctionnalité n’est utile que si elle est fiable et intuitive.
Analyse de la sécurité de LastPass: peut-on lui faire confiance? 🔒
La sécurité est le pilier central de tout gestionnaire de mots de passe. LastPass met en avant une architecture et des pratiques conçues pour protéger les données de ses utilisateurs. Cependant, son historique récent impose un examen particulièrement critique.
Architecture de chiffrement: « Zero-Knowledge », AES-256, PBKDF2-SHA256
LastPass affirme opérer selon un modèle de sécurité « zero-knowledge » (zéro connaissance). Cela signifie que l’entreprise déclare n’avoir jamais connaissance du mot de passe maître de l’utilisateur et, par conséquent, ne pas pouvoir accéder aux données déchiffrées stockées dans son coffre-fort. Le chiffrement et le déchiffrement des données du coffre-fort s’effectuent exclusivement en local, sur l’appareil de l’utilisateur, avant toute synchronisation avec les serveurs de LastPass. Pour ce faire, l’activation de JavaScript dans le navigateur est nécessaire.
L’algorithme utilisé pour chiffrer les données du coffre-fort est l’AES-256 bits, un standard reconnu pour sa robustesse. Le mot de passe maître, choisi par l’utilisateur, est crucial : il est transformé localement en une clé de chiffrement (pour chiffrer et déchiffrer le coffre-fort) et en une clé d’authentification (pour vérifier l’identité de l’utilisateur auprès des serveurs LastPass). Ce processus de dérivation de clé utilise l’algorithme PBKDF2-SHA256 avec un nombre élevé d’itérations – 600 000 par défaut depuis une mise à jour. Un « sel » (salt), une valeur aléatoire unique à chaque utilisateur, est ajouté au mot de passe maître avant le hachage, garantissant que même si deux utilisateurs choisissaient le même mot de passe maître, leurs clés de chiffrement et d’authentification seraient différentes. Cela protège contre les attaques par tables arc-en-ciel.
👉 Suite aux incidents de sécurité, LastPass a annoncé des améliorations, notamment le chiffrement des champs d’URL primaires stockés dans les coffres-forts, afin d’empêcher qu’une fuite de données ne permette de lier directement un identifiant de connexion à un site web spécifique. Cette mesure vise à chiffrer « tout ce qui est faisable sans compromettre l’expérience utilisateur ».
Sur le papier, cette architecture de sécurité est conforme aux meilleures pratiques de l’industrie. Le modèle zero-knowledge est fondamental. Néanmoins, l’histoire récente de LastPass a douloureusement illustré que des faiblesses dans d’autres domaines, tels que la sécurité opérationnelle ou la gestion des accès des employés, peuvent saper l’efficacité d’un modèle de chiffrement, aussi robuste soit-il.
Audits, conformité et transparence
LastPass met en avant plusieurs certifications pour attester de ses pratiques de sécurité et de conformité, notamment SOC 2 Type II, ISO 27001, ISO 27701, SOC3, BSI C5, et TRUSTe. L’entreprise indique également avoir fait l’objet d’une revue de sécurité indépendante par Google Play, ces démarches ayant été particulièrement soulignées après les incidents de 2022.
Le « Trust Center » de LastPass est présenté comme la source d’information centralisée pour tout ce qui concerne la sécurité, la confidentialité, la conformité et la performance du système. Un livre blanc technique, détaillant l’architecture de sécurité et les principes de fonctionnement du service, est également mis à disposition des utilisateurs.
Les certifications et les audits par des tiers indépendants sont des éléments importants pour établir la crédibilité d’un service de sécurité. La publication effective et accessible de ces rapports d’audit (comme le rapport SOC 2 détaillé) constituerait un gage supplémentaire de transparence. La question demeure de savoir si ces mesures, bien que positives, sont suffisantes pour restaurer pleinement la confiance après les brèches passées.
Sécurité du compte (mot de passe maître, 2FA/MFA, récupération)
La sécurité d’un compte LastPass repose de manière critique sur la robustesse du mot de passe maître choisi par l’utilisateur. C’est la clé unique qui déverrouille l’intégralité du coffre-fort, et LastPass insiste sur le fait qu’il ne stocke jamais ce mot de passe maître. Pour aider les utilisateurs, LastPass vérifie si le mot de passe maître envisagé a déjà été compromis lors de fuites de données publiques connues.
Pour renforcer la protection de l’accès au coffre-fort, LastPass propose une vaste gamme d’options d’authentification multifacteur (MFA), détaillées dans la section des fonctionnalités. La MFA peut être configurée sur les comptes personnels et est même requise pour les comptes personnels qui sont liés à un compte Entreprise utilisant l’authentification Duo.
Des options de récupération de compte sont également prévues , mais leur configuration et leur utilisation nécessitent une attention particulière de la part de l’utilisateur. Un indice de mot de passe maître bien choisi ou la configuration de l’accès d’urgence sont des mesures préventives importantes, car la récupération peut s’avérer complexe si le mot de passe maître est perdu et que ces options n’ont pas été mises en place. En fin de compte, la sécurité du compte est une responsabilité partagée : LastPass fournit les outils, mais l’utilisateur doit les employer judicieusement.
Historique des incidents de sécurité (2015, 2021, 2022)
L’historique des incidents de sécurité de LastPass est un point particulièrement sensible et préoccupant.
- En juin 2015, LastPass a détecté une activité suspecte sur son réseau. L’enquête a révélé que des adresses e-mail de comptes, des rappels de mots de passe, des « sels » uniques par utilisateur et des « hashes » d’authentification avaient été compromis. Cependant, l’entreprise a affirmé que les données chiffrées des coffres-forts des utilisateurs n’avaient pas été affectées.
- En 2021, il a été découvert que l’application Android de LastPass contenait des traqueurs publicitaires et d’analyse tiers, ce qui a soulevé des inquiétudes quant à la confidentialité. Plus tard la même année, LastPass a averti certains utilisateurs que leurs mots de passe maîtres avaient pu être compromis lors d’attaques de « credential stuffing » ciblant d’autres services où ces mots de passe étaient réutilisés.
- La série d’incidents la plus grave a débuté en août 2022. Un attaquant a réussi à accéder à l’environnement de développement de LastPass, dérobant du code source et des informations techniques propriétaires. Dans un premier temps, LastPass avait communiqué que ni les données des clients ni les coffres-forts de mots de passe n’avaient été consultés lors de cette intrusion.
- Cependant, en novembre 2022, la situation s’est avérée bien plus sérieuse. LastPass a dû admettre qu’une seconde attaque, tirant parti des informations volées en août, avait eu lieu. Lors de cette seconde phase, les attaquants ont réussi à compromettre des copies de sauvegarde de certains coffres-forts chiffrés de clients, ainsi que d’autres informations personnelles. Pour ce faire, l’attaquant a ciblé un ingénieur DevOps senior, a piraté son ordinateur personnel et a utilisé un enregistreur de frappe pour obtenir son mot de passe maître. Ce mot de passe maître donnait accès à un coffre-fort d’entreprise partagé par seulement quatre ingénieurs, lequel contenait les clés d’accès aux sauvegardes des coffres-forts clients stockées sur des serveurs cloud Amazon S3.
Les données compromises lors de l’incident de novembre 2022 incluaient:
- Des informations personnelles de base des clients : noms, adresses e-mail, adresses de facturation, numéros de téléphone, adresses IP partielles.
- Des informations financières partielles : quatre derniers chiffres des numéros de carte de crédit.
- Des métadonnées techniques : le nombre d’itérations PBKDF2 utilisé pour le mot de passe maître de chaque utilisateur, les graines d’authentification multifacteur (MFA) et des identifiants d’appareils.
- Et surtout, pour chaque utilisateur dont le coffre-fort a été copié : les URL des sites web (qui n’étaient pas chiffrées à l’époque), ainsi que les noms d’utilisateur, les mots de passe et les données de formulaires chiffrés correspondants.
Les conséquences de cette exfiltration de coffres-forts chiffrés sont majeures. Même chiffrés, ces coffres-forts pouvaient potentiellement être déchiffrés par les attaquants en mode « hors ligne », leur donnant tout le temps nécessaire pour tenter de « craquer » les mots de passe maîtres, en particulier ceux qui étaient faibles, courts, réutilisés, ou ceux des comptes plus anciens qui utilisaient un nombre d’itérations PBKDF2 plus bas et donc moins résistant.
Des vols de cryptomonnaies, se chiffrant à plusieurs dizaines, voire centaines de millions de dollars, ont par la suite été directement liés à cette fuite de données. Les victimes avaient souvent stocké leurs phrases de récupération de portefeuilles de cryptomonnaies (seed phrases) dans la section « Notes Sécurisées » de leur coffre-fort LastPass.
La réponse de LastPass à ces incidents a été largement critiquée. La communication initiale a été perçue comme minimisant la gravité de la situation, suivie d’aveux progressifs. L’entreprise a par la suite affirmé coopérer avec les forces de l’ordre mais a aussi déclaré ne pas avoir de « preuves concluantes » liant directement les vols de cryptomonnaies à leur incident , une position qui contraste avec les conclusions de chercheurs en sécurité et d’agences fédérales.
Depuis ces événements, LastPass a communiqué sur d’importantes mesures correctives : la scission de sa maison-mère GoTo pour se concentrer sur la sécurité, la création de huit équipes dédiées à la sécurité, l’intégration de la sécurité dès la phase de conception des produits (security by design), une refonte de son infrastructure pour qu’elle soit nativement cloud, et une augmentation significative de ses effectifs en cybersécurité.
Des améliorations techniques ont été apportées, comme le chiffrement des URL. De nouvelles certifications de sécurité ont également été obtenues. Cependant, des critiques persistent, estimant que LastPass n’a pas suffisamment alerté ses utilisateurs sur l’étendue des risques, notamment concernant les données stockées dans les « Notes Sécurisées », et n’a pas assez insisté sur la nécessité pour les utilisateurs de changer tous leurs mots de passe, et surtout leur mot de passe maître.
L’historique des incidents est sans conteste le point le plus sombre du bilan de LastPass. La nature et l’ampleur de la brèche de 2022 sont particulièrement graves car elles ont permis le vol des « joyaux de la couronne » – les coffres-forts chiffrés eux-mêmes. Le modèle « zero-knowledge », bien que théoriquement solide, a montré ses limites lorsque les conteneurs chiffrés sont exfiltrés et que la sécurité repose alors intégralement sur la robustesse du mot de passe maître de l’utilisateur et sur le nombre d’itérations PBKDF2. Si le mot de passe maître est faible, ou si le nombre d’itérations est bas (un problème pour les comptes plus anciens ), le coffre-fort volé devient vulnérable au déchiffrement hors ligne. La communication de LastPass a parfois semblé omettre de souligner avec suffisamment de force ce danger spécifique.
De même, le fait que les URL stockées dans les coffres n’étaient pas chiffrées avant la mise à jour post-brèche a fourni aux attaquants une « feuille de route » précieuse pour cibler leurs efforts de déchiffrement sur les identifiants les plus sensibles (banques, cryptomonnaies, etc.). Cette amélioration, bien que bienvenue, est arrivée tardivement. Enfin, la « dette de sécurité » des anciens comptes, avec un nombre d’itérations PBKDF2 plus faible, reste une préoccupation si une migration forcée et complète vers des paramètres plus robustes n’a pas été universellement appliquée.
Politique de confidentialité
La politique de confidentialité de LastPass indique que l’entreprise s’efforce de limiter la collecte de données personnelles à ce qui est strictement nécessaire pour fournir et améliorer ses services, et de ne pas les utiliser à des fins incompatibles avec leur collecte initiale. Cependant, certains aspects de cette politique méritent une attention particulière.
LastPass collecte des données que l’utilisateur ou d’autres personnes saisissent volontairement, ainsi que des données enregistrées automatiquement par le site web, les chatbots ou le service lui-même. Ces données peuvent inclure des informations sur le matériel et les appareils utilisés. Plus spécifiquement, l’extension Chrome de LastPass, par exemple, déclare gérer des données de localisation, l’activité de l’utilisateur et le contenu des sites web. Cette collecte d’informations sur l’activité de l’utilisateur et le contenu des sites web peut paraître intrusive pour un outil dont la vocation première est la sécurité et la confidentialité.
L’entreprise peut utiliser des cookies et des technologies similaires, et contacter les utilisateurs à des fins marketing, sous réserve de leur consentement ou d’un intérêt légitime (par exemple, pour les abonnés actuels). LastPass collecte également des données provenant de sources tierces, telles que des services de surveillance des fuites d’identité (pour la surveillance du dark web), des informations pour la détection de la fraude, ou des données de prospection marketing. Ces informations peuvent être combinées avec celles fournies directement par l’utilisateur.
Concernant le partage de données, LastPass divulgue plusieurs catégories d’informations personnelles, incluant les identifiants, les informations commerciales, l’activité sur internet, les données de géolocalisation, les informations audio et visuelles, les informations professionnelles et les inférences tirées de ces catégories. L’entreprise précise qu’elle ne « vend » pas les informations personnelles au sens traditionnel du terme. Toutefois, elle reconnaît que certaines activités, notamment l’utilisation de cookies tiers, pourraient être considérées comme une « vente » de données en vertu de certaines lois américaines sur la protection de la vie privée. De plus, LastPass peut partager des données personnelles avec des tiers à des fins de publicité contextuelle croisée. Les utilisateurs disposent d’un portail pour exercer leurs droits en matière de confidentialité, y compris pour refuser cette « vente » ou ce partage de données.
Il est important de noter qu’en raison de son modèle de sécurité zero-knowledge, LastPass ne conserve pas de copie déchiffrée des coffres-forts des utilisateurs. Par conséquent, l’exportation du contenu d’un coffre-fort sous une forme non chiffrée doit être effectuée par l’utilisateur lui-même, après s’être connecté à son compte.
Ergonomie et expérience utilisateur au quotidien avec LastPass 💻📱
Au-delà de la sécurité, l’utilisabilité quotidienne est un facteur déterminant dans le choix d’un gestionnaire de mots de passe.
Installation et configuration
Le processus d’installation de LastPass est généralement décrit comme simple et rapide. Pour guider les nouveaux utilisateurs, LastPass propose des tutoriels et un système d' »achievements » (réalisations) qui, une fois complétés en explorant les fonctionnalités, peuvent même offrir une réduction sur les tarifs. Cette approche ludique peut faciliter la prise en main et encourager la découverte des différentes options du service. Une bonne première impression est essentielle pour l’adoption d’un nouvel outil.
Importation des données
Pour les utilisateurs migrant depuis un autre gestionnaire de mots de passe ou depuis les fonctions de sauvegarde de mots de passe d’un navigateur, LastPass offre un processus d’importation bien guidé. Il prend en charge l’importation depuis de nombreux concurrents populaires tels que 1Password, Bitwarden, Dashlane, KeePass, Keeper et RoboForm, ainsi que l’importation via un fichier CSV générique.
Cependant, quelques limitations sont à noter: l’importation via un fichier CSV peut rencontrer des problèmes ou échouer si l’on tente d’importer plus de 200 éléments en une seule fois. De plus, l’importation directe dans un dossier partagé n’est pas supportée, et les notes importées via CSV sont limitées à 45 000 caractères. Faciliter la migration est crucial, mais ces restrictions peuvent être un frein pour les utilisateurs possédant de vastes coffres-forts ou des besoins d’organisation spécifiques dès l’importation.
Interface utilisateur (UI): applications et extensions
LastPass propose des applications natives pour les systèmes d’exploitation de bureau Windows, macOS et Linux. L’interface de ces applications est intuitive, avec un design minimaliste et logique qui facilite la navigation.
Les extensions de navigateur, disponibles pour Chrome, Firefox, Safari, Edge et Opera, sont au cœur de l’expérience LastPass.
- L’extension Chrome est généralement bien perçue, avec une note de 4.3/5 sur le Chrome Web Store , et est souvent décrite comme simple et facile à utiliser.
- L’extension Firefox reçoit des avis plus partagés, avec une note de 3.7/5 sur le catalogue d’extensions de Firefox. Certains utilisateurs rapportent une dégradation des performances et des bugs occasionnels.
- L’extension Safari, en revanche, fait l’objet de critiques particulièrement sévères, avec une note très basse de 1.4/5 sur le Mac App Store. Des utilisateurs signalent des problèmes récurrents de déconnexion, un remplissage automatique inconsistant, voire des blocages du navigateur Safari. D’autres utilisateurs, cependant, ne semblent pas rencontrer ces difficultés.
- L’extension Edge est décrite de manière similaire à celle de Chrome, mettant en avant la facilité d’utilisation.
Globalement, l’interface de LastPass est considérée comme conviviale, bien que parfois qualifiée de « basique » par certains. Cette variabilité de l’expérience utilisateur en fonction de la plateforme et de l’extension de navigateur est un point faible. Les problèmes rencontrés avec l’extension Safari sont particulièrement préoccupants pour les utilisateurs de l’écosystème Apple, suggérant que les ressources de développement et de test ne sont peut-être pas uniformément réparties, ou que certaines plateformes posent des défis techniques spécifiques à LastPass.
Workflow quotidien (capture, génération, remplissage)
L’efficacité d’un gestionnaire de mots de passe se mesure à sa fluidité dans les tâches quotidiennes.
- Capture de nouveaux identifiants : lorsqu’un utilisateur crée un nouveau compte, une fenêtre pop-up de LastPass devrait normalement apparaître pour proposer de sauvegarder les informations. Cependant, des problèmes ont été signalés, notamment avec l’extension Chrome, où cette fenêtre pouvait être en retard ou enregistrer des informations incorrectes, obligeant l’utilisateur à effectuer une sauvegarde manuelle.
- Génération de mots de passe : cette fonction est accessible depuis l’extension de navigateur ou l’application. Des différences ont été notées dans les règles de génération par défaut et dans l’historique des mots de passe générés entre le coffre-fort web et les extensions.
- Remplissage automatique : le remplissage des identifiants et des formulaires est généralement jugé efficace. Néanmoins, des difficultés peuvent survenir pour distinguer plusieurs jeux de données (par exemple, plusieurs adresses) enregistrés sous le même nom. De plus, certains utilisateurs rapportent des échecs purs et simples du remplissage automatique.
Des frictions dans ce workflow quotidien, comme des échecs de capture ou de remplissage, peuvent rapidement devenir frustrantes et annuler les avantages de commodité promis par le gestionnaire. Ces « petits » bugs, s’ils sont fréquents, entachent l’expérience globale.
Expérience mobile (iOS et Android)
LastPass propose des applications mobiles pour iOS et Android, qui incluent l’accès au coffre-fort chiffré, le remplissage automatique dans les applications et les navigateurs mobiles, un générateur de mots de passe, des options de partage et la connexion biométrique.
- Sur iOS, les avis sont partagés. Certains utilisateurs louent la facilité d’utilisation et la centralisation des données qu’offre l’application. D’autres, en revanche, se plaignent de problèmes persistants de reconnaissance de l’appareil par LastPass, de boucles de vérification d’identité sans fin, et de difficultés à contacter le support client en cas de problème. Une comparaison datant de 2025 entre LastPass et Apple Passwords notait une expérience utilisateur globalement satisfaisante sur iOS, tout en signalant un bug spécifique sur MacBook lors de l’utilisation de LastPass.
- Sur Android, les avis semblent encore plus mitigés que sur d’autres plateformes, l’application affichant une note moyenne de seulement 3.8 sur 5 sur le Play Store selon une source. Les critiques portent parfois sur une interface jugée basique et sur les préoccupations générales liées à la sécurité de LastPass suite à la brèche de 2022. Le remplissage automatique est généralement apprécié, y compris la capacité (pour les abonnés Premium) de remplir automatiquement les identifiants dans les applications de bureau Windows ou macOS, initiée depuis l’application mobile Android. Il est à rappeler qu’en 2021, des traqueurs publicitaires et d’analyse tiers avaient été découverts dans l’application Android.
L’expérience mobile est cruciale pour un gestionnaire de mots de passe moderne. Les avis partagés, en particulier sur Android, et les problèmes de reconnaissance d’appareil ou de vérification sur iOS constituent des points faibles significatifs.
Support client
Le support client est un aspect fréquemment et sévèrement critiqué de LastPass.
👨💻 Différents niveaux de support sont proposés : les utilisateurs du plan gratuit ont accès à une base de connaissances en ligne (articles d’aide, FAQ) et aux forums communautaires. Les utilisateurs des plans payants Premium et Families ont théoriquement droit à un support personnalisé par e-mail. Les clients des offres Business peuvent bénéficier d’un support téléphonique disponible 24/7 et, pour les plus gros comptes, d’un Customer Success Manager dédié.
👨💻 Malgré ces offres, les critiques sont nombreuses et virulentes. Le support est souvent jugé insuffisant, lent à répondre, et peu efficace pour résoudre les problèmes, même pour les utilisateurs payants. Des plateformes d’avis comme le Better Business Bureau (BBB) et Trustpilot regorgent de plaintes concernant des problèmes de facturation non résolus, des difficultés à annuler des abonnements, et un manque général de réactivité du support. De nombreux témoignages d’utilisateurs sur des forums comme Reddit font état d’expériences extrêmement négatives, certains allant jusqu’à qualifier le support LastPass de « pire support client » jamais rencontré.
👨💻 Un problème récurrent est la difficulté, voire l’impossibilité, d’obtenir de l’aide si l’on ne peut pas se connecter à son compte (par exemple, en cas de mot de passe maître oublié ou de problème avec l’authentification à deux facteurs), car l’accès au support nécessite souvent d’être connecté.
Le support client apparaît comme un point de rupture majeur pour LastPass. Pour un service de sécurité où un accès rapide à une assistance compétente est primordial en cas de problème (perte d’accès au coffre-fort, suspicion de compromission), cette défaillance est particulièrement préoccupante et affecte négativement la proposition de valeur globale, y compris pour les offres payantes.
Les offres tarifaires de LastPass : gratuit vs payant, que choisir? 💰
Rapport qualité-prix
L’évaluation du rapport qualité-prix de LastPass est complexe et dépend fortement des priorités de l’utilisateur.
👉 Le plan gratuit a considérablement perdu de sa valeur avec la restriction à un seul type d’appareil. Il peut encore convenir à des utilisateurs très occasionnels n’utilisant qu’un ordinateur ou qu’un mobile, mais il n’est plus une solution viable pour la plupart.
👉 Les plans Premium et Families offrent un ensemble de fonctionnalités très complet pour un prix qui reste compétitif sur le marché. Si l’on met de côté les préoccupations majeures concernant la sécurité et la fiabilité du support client, ces plans pourraient être considérés comme ayant un bon rapport fonctionnalités/prix.
👉 Les plans Business sont également positionnés de manière concurrentielle, mais le coût total peut augmenter de manière significative si l’entreprise a besoin des modules complémentaires pour le SSO avancé ou la MFA étendue.
En fin de compte, le rapport qualité-prix perçu est indissociable de la confiance accordée à la plateforme. Payer pour un service qui a connu des failles de sécurité majeures peut sembler un mauvais calcul pour beaucoup, quelles que soient les fonctionnalités offertes. Les utilisateurs qui étaient habitués à la générosité de l’ancien plan gratuit peuvent se sentir contraints de payer pour maintenir un workflow auquel ils étaient habitués, même s’ils auraient pu opter pour une alternative gratuite plus complète s’ils partaient de zéro aujourd’hui.
Tableau récapitulatif des fonctionnalités de LastPass par plan
Pour aider à visualiser les différences entre les offres, voici un tableau comparatif des principales fonctionnalités:
| Fonctionnalité | Free | Premium (Individuel) | Families (par utilisateur, jusqu’à 6) | Teams (par utilisateur, jusqu’à 50) | Business (par utilisateur) |
|---|---|---|---|---|---|
| Prix (facturé annuellement) | 0 € | ~3 €/mois | ~4 €/mois (total pour 6) | ~4,25 €/mois | ~7 €/mois |
| Nombre d’utilisateurs | 1 | 1 | Jusqu’à 6 | Jusqu’à 50 | Illimité |
| Accès appareils | 1 type (ordinateur OU mobile) | Illimité tous types | Illimité tous types | Illimité tous types | Illimité tous types |
| Mots de passe stockés | Illimité | Illimité | Illimité | Illimité | Illimité |
| Synchronisation automatique | Sur 1 type d’appareil | ✅ | ✅ | ✅ | ✅ |
| Remplissage automatique | ✅ | ✅ | ✅ | ✅ | ✅ |
| Générateur de mots de passe | ✅ | ✅ | ✅ | ✅ | ✅ |
| Partage d’identifiants (1-to-1) | ✅ | ✅ | ✅ | ✅ | ✅ |
| Partage d’identifiants (1-to-many) | ❌ | ✅ | ✅ | ✅ | ✅ |
| Dossiers partagés | ❌ | ✅ | ✅ (illimités) | ✅ | ✅ |
| Stockage de fichiers sécurisé | 50 Mo | 1 Go | 1 Go | 1 Go | 1 Go |
| Accès d’urgence | ❌ | ✅ | ✅ | ✅ | ✅ |
| MFA (options de base) | ✅ (via LastPass Authenticator) | ✅ | ✅ | ✅ | ✅ |
| MFA (options avancées) | ❌ | ✅ (YubiKey, biométrie tierce) | ✅ | ✅ | ✅ |
| Tableau de bord de sécurité | ✅ | ✅ | ✅ | ✅ (équipe) | ✅ (entreprise) |
| Surveillance du dark web | ✅ | ✅ | ✅ | ✅ | ✅ |
| Support client | Auto-assistance | Support e-mail | Support e-mail | Support e-mail | Support 24/7, CSM (selon taille du compte) |
| Console d’administration | ❌ | ❌ | Tableau de bord familial | ✅ | ✅ |
| Politiques de sécurité | ❌ | ❌ | ❌ | 25 | 100+ |
| Intégrations annuaires/SSO | ❌ | ❌ | ❌ | ❌ | ✅ (3 SSO inclus, plus en option) |
| LastPass Families pour employés | ❌ | ❌ | ❌ | ❌ | ✅ |
LastPass face à la concurrence : comment se positionne-t-il ? 🥊
Aucun outil n’existe en vase clos. Pour évaluer la pertinence de LastPass, il est indispensable de le comparer à ses principaux concurrents sur le marché des gestionnaires de mots de passe. Le facteur « confiance », compte tenu de l’historique de LastPass, pèse lourd dans ces comparaisons.
LastPass vs. Bitwarden
Bitwarden est souvent cité comme l’une des alternatives les plus solides à LastPass, notamment en raison de son modèle open-source et de son excellente offre gratuite.
| Critère | LastPass | Bitwarden | 🏆 Avantage |
|---|---|---|---|
| Sécurité & Transparence | Modèle propriétaire (fermé). Utilise AES-256 et PBKDF2. A connu plusieurs brèches de sécurité (2015, 2021, 2022). Chiffrement des URL récemment amélioré. | Open-source. Utilise AES-256 et PBKDF2 ou Argon2id. Audits de sécurité réguliers et publics. Pas de brèches majeures connues. Chiffrement complet des URL par défaut. | Bitwarden |
| Offre Gratuite | 1 utilisateur, accès limité à 1 type d’appareil (ordinateur OU mobile), fonctionnalités de base. | 1 utilisateur, synchronisation multi-appareils illimitée, fonctionnalités de base complètes, authentification à deux facteurs (2FA) de base. | Bitwarden |
| Prix (Premium/an) | Environ 32-36 € (3 $ par mois, facturé annuellement). | Environ 10 € (10 $ par an). | Bitwarden |
| Interface Utilisateur | Généralement perçue comme plus « polie » et intuitive pour les nouveaux utilisateurs. | Fonctionnelle, minimaliste. Peut sembler plus austère ou technique pour certains utilisateurs. | LastPass (pour certains) |
| Fonctionnalités Clés | Ensemble riche de fonctionnalités. Partage familial et options de récupération de compte bien développées. | Ensemble riche également. Propose l’auto-hébergement (self-hosting) et un générateur d’alias e-mail intégré. | Égalité |
| Réputation & Confiance | Fortement ébranlée suite aux incidents de sécurité répétés. Difficulté à regagner la confiance. | Très bonne réputation, soutenue par une communauté active et la transparence de l’open-source. | Bitwarden |
Dans cette confrontation, Bitwarden prend un avantage significatif sur les aspects cruciaux de la sécurité, de la transparence, de la générosité de l’offre gratuite et du prix. L’offre gratuite de LastPass, en particulier, n’est plus compétitive. LastPass conserve un avantage potentiel en termes de perception de la convivialité de son interface pour certains utilisateurs, mais cet atout est de plus en plus mince face aux préoccupations de sécurité.
LastPass vs. 1Password
1Password est un autre concurrent majeur, souvent loué pour sa sécurité robuste et son interface utilisateur soignée.
| Critère | LastPass | 1Password | 🏆 Avantage |
|---|---|---|---|
| Sécurité & Transparence | Modèle propriétaire. AES-256, PBKDF2. Historique de brèches. | Modèle propriétaire. AES-256, PBKDF2, plus une « Secret Key » unique de 34 caractères pour une protection supplémentaire. Pas de brèches connues. Audits réguliers et transparents. | 1Password |
| Offre Gratuite | Offre gratuite existante mais limitée à 1 type d’appareil. | Pas d’offre gratuite, seulement un essai de 14 jours. | LastPass (pour l’existence d’une offre gratuite) |
| Prix (Premium/an) | Environ 32-36 € (3 $ par mois). | Environ 32-36 € (2.99 $ par mois, facturé annuellement). | Égalité |
| Interface Utilisateur | Conviviale, mais peut paraître moins « premium » que 1Password. | Très soignée, moderne, souvent considérée comme l’une des meilleures du marché. | 1Password |
| Fonctionnalités Clés | Ensemble complet. | Ensemble très complet, avec des fonctionnalités uniques comme le « Travel Mode » (masquage sélectif de coffres-forts lors de voyages) et une meilleure gestion des types d’éléments. | 1Password |
| Réputation & Confiance | Ébranlée. | Excellente réputation en matière de sécurité et de fiabilité. | 1Password |
Face à 1Password, LastPass peine sur les aspects de sécurité et de confiance. Bien que leurs prix pour les offres individuelles payantes soient similaires, 1Password offre une architecture de sécurité perçue comme plus robuste et une expérience utilisateur plus raffinée. L’absence d’offre gratuite chez 1Password est un point en faveur de LastPass pour ceux qui cherchent absolument une option sans frais, même limitée.
LastPass vs. Dashlane
Dashlane est un autre acteur important, souvent reconnu pour son interface utilisateur et des fonctionnalités additionnelles comme un VPN dans ses offres supérieures. Une comparaison directe nécessiterait une analyse aussi détaillée que pour Bitwarden et 1Password, mais Dashlane est généralement perçu comme plus cher que LastPass, tout en ayant une bonne réputation de sécurité.
LastPass vs. Keeper
Keeper est également un concurrent sérieux, particulièrement fort dans le secteur professionnel et gouvernemental grâce à des certifications comme FedRAMP et SOC2. Il propose un ensemble de fonctionnalités très vaste et jouit d’une bonne réputation en matière de sécurité, sans brèches majeures connues. Son offre gratuite est limitée, et ses tarifs sont à comparer en détail avec ceux de LastPass.
Mentions d’autres alternatives
D’autres gestionnaires de mots de passe méritent d’être mentionnés comme alternatives potentielles, notamment NordPass , Proton Pass (développé par l’équipe derrière ProtonMail, axé sur la confidentialité) , et RoboForm (un des pionniers, très bon pour le remplissage de formulaires).
En résumé, le positionnement de LastPass face à la concurrence est délicat. Son principal handicap reste son historique de sécurité, qui mine la confiance des utilisateurs. Son offre gratuite, autrefois un atout majeur, a perdu de son attrait. Si son interface utilisateur est encore appréciée par certains pour sa convivialité, cet avantage est insuffisant pour compenser les préoccupations majeures en matière de sécurité face à des concurrents qui offrent soit une meilleure transparence (Bitwarden), soit une architecture de sécurité perçue comme plus innovante et sans faille (1Password).
Synthèse des avis sur LastPass: ce que pensent les utilisateurs et les experts 🗣️
Les opinions sur LastPass sont aujourd’hui fortement polarisées, reflétant son parcours tumultueux.
Points positifs récurrents
Malgré les critiques, certains aspects de LastPass continuent d’être appréciés:
✅ La facilité d’utilisation et l’interface intuitive sont souvent citées, en particulier pour les fonctionnalités de base et la configuration initiale. Les utilisateurs novices peuvent trouver LastPass relativement simple à prendre en main.
✅ L’éventail de fonctionnalités est jugé complet par beaucoup, couvrant la plupart des besoins en matière de gestion de mots de passe, surtout dans les versions payantes.
✅ La compatibilité multiplateforme était un atout majeur, bien que la restriction du plan gratuit ait terni cet avantage pour certains.
✅ Le remplissage automatique des identifiants et des formulaires fonctionne généralement de manière satisfaisante pour de nombreux utilisateurs.
✅ La fonction de partage de mots de passe est également une fonctionnalité appréciée, facilitant la collaboration sécurisée.
Critiques fréquentes
Les points négatifs sont cependant nombreux et souvent sévères :
❌ Sans conteste, les incidents de sécurité de 2022 ont massivement érodé la confiance des utilisateurs et des experts. Beaucoup se sentent trahis, inquiets pour la sécurité de leurs données les plus sensibles, et critiquent la manière dont l’entreprise a géré ces crises.
❌ Le support client est un sujet de plainte récurrent et majeur. Il est fréquemment décrit comme médiocre, lent à répondre, difficile à joindre et peu efficace pour résoudre les problèmes, et ce, même pour les clients ayant souscrit à des abonnements payants.
❌ La restriction du plan gratuit à un seul type d’appareil (ordinateur OU mobile) depuis mars 2021 est très mal perçue par la communauté, qui y voit une dégradation significative du service.
❌ Des problèmes de performance, des bugs et des dysfonctionnements sont rapportés avec certaines extensions de navigateur, l’extension pour Safari étant particulièrement critiquée pour son instabilité.
❌ Des difficultés avec le processus de récupération de compte ou les étapes de vérification d’identité sont parfois mentionnées, ce qui peut être extrêmement stressant pour les utilisateurs bloqués hors de leur coffre-fort.
❌ La communication de LastPass suite aux brèches de sécurité a été jugée insuffisante, tardive ou manquant de transparence par de nombreux observateurs et utilisateurs.
❌ Certains utilisateurs de longue date expriment une déception face à ce qu’ils perçoivent comme une dégradation de la qualité générale du service ou de la fiabilité de l’application au fil du temps.
Il existe une fracture notable entre certains utilisateurs de longue date, qui, bien que conscients des problèmes, restent fidèles par habitude, par « paresse de changer » , ou parce que leur environnement professionnel leur impose l’utilisation de LastPass , et les nouveaux utilisateurs potentiels qui sont, à juste titre, beaucoup plus méfiants et critiques en raison de la publicité négative entourant les failles de sécurité. De plus, un sentiment que LastPass « était meilleur avant » est palpable dans de nombreux témoignages. Cette perception d’un déclin, au-delà des incidents de sécurité spécifiques, peut rendre la reconquête de la confiance encore plus ardue pour l’entreprise.
Conclusion: notre verdict final sur LastPass en 2025 🏁
Après une analyse approfondie de ses fonctionnalités, de son architecture de sécurité, de son historique, de son positionnement tarifaire et des retours d’expérience, il est temps de livrer un verdict sur LastPass en 2025.
Récapitulatif des forces et faiblesses
LastPass présente un profil contrasté. Ses forces résident principalement dans une facilité d’utilisation qui a longtemps fait sa réputation, un ensemble de fonctionnalités complet (surtout dans ses offres payantes), et une large compatibilité multiplateforme qui, bien que limitée dans le plan gratuit, reste un atout pour les abonnés.
Cependant, ses faiblesses sont majeures et ne peuvent être ignorées. L’historique des incidents de sécurité, avec en point d’orgue la brèche de 2022 ayant conduit au vol de coffres-forts chiffrés de clients, a profondément sapé la confiance, un élément pourtant non négociable pour un gestionnaire de mots de passe. À cela s’ajoute un support client souvent jugé défaillant, même pour les utilisateurs payants, et un plan gratuit qui a perdu l’essentiel de son attrait compétitif.
LastPass est-il recommandable aujourd’hui? Pour qui?
En l’état actuel des choses, et malgré les efforts de redressement annoncés par l’entreprise, il est difficile de recommander LastPass sans émettre de sérieuses mises en garde.
- Pour les utilisateurs existants qui sont profondément ancrés dans l’écosystème LastPass, qui ont pris des mesures rigoureuses pour sécuriser leur compte (mot de passe maître extrêmement robuste et unique, authentification multifacteur activée sur leur compte LastPass et sur tous leurs comptes importants, rotation de tous les mots de passe sensibles après les brèches) et qui acceptent le risque résiduel, continuer avec LastPass peut être une option, par souci de commodité.
- Pour les nouveaux utilisateurs à la recherche d’un gestionnaire de mots de passe, il est impératif d’examiner attentivement les alternatives avant d’envisager LastPass. Si la sécurité, la transparence et la confiance sont des priorités absolues, d’autres solutions semblent aujourd’hui offrir de meilleures garanties.
- Les entreprises, quant à elles, doivent mener une évaluation des risques extrêmement rigoureuse. Elles doivent analyser en détail les mesures de sécurité mises en œuvre par LastPass depuis les incidents, la robustesse de son architecture actuelle, et la comparer avec les offres concurrentes, tout en tenant compte de la sensibilité des données qui seraient stockées.
Alternatives à considérer
Plusieurs alternatives solides à LastPass méritent d’être considérées :
- Bitwarden: se distingue par son modèle open-source, sa transparence, sa sécurité éprouvée, son excellente offre gratuite (incluant la synchronisation multi-appareils) et ses tarifs très compétitifs pour les fonctionnalités premium.
- 1Password: réputé pour sa sécurité robuste (notamment grâce à sa « Secret Key »), son interface utilisateur soignée et ses fonctionnalités innovantes. Il n’a pas d’offre gratuite mais constitue un choix premium solide.
- D’autres options comme Dashlane (avec des fonctionnalités comme un VPN), Keeper (très axé sur la sécurité et les certifications), NordPass (par les créateurs de NordVPN) ou Proton Pass (par l’équipe de ProtonMail, axé sur la confidentialité) peuvent également répondre à des besoins spécifiques.
