Des internautes ont repéré une campagne de phishing qui cible les comptes 1Password. Confirmée par le service, l’attaque simule de fausses alertes de sécurité et a déjà fait ses premières victimes.

Si vous utilisez 1Password, méfiez-vous de cette attaque de phishing bien ficelée © Elena Uve / Shutterstock
Si vous utilisez 1Password, méfiez-vous de cette attaque de phishing bien ficelée © Elena Uve / Shutterstock

Une campagne de phishing cible actuellement les utilisateurs et utilisatrices de 1Password. Des mails frauduleux, imitant les communications officielles du gestionnaire, incitent les victimes potentielles à réinitialiser leur mot de passe sous prétexte d’une faille de sécurité détectée sur le compte. En réalité, ces messages redirigent vers un faux site, où les informations saisies sont immédiatement compromises.

Une tentative de vol de mots de passe bien préparée

Si vous avez reçu un mail aux couleurs de 1Password vous enjoignant à réinitialiser votre mot de passe, mieux vaut passer votre chemin. Plusieurs utilisateurs et utilisatrices ont signalé sur Reddit une campagne de phishing bien ficelée, et certains y ont déjà laissé des plumes.

Et pour cause, le message en question a tout d’une alerte officielle : branding, formulations professionnelles types, mentions « chiffré avec TLS » et « En savoir plus » pour renforcer sa crédibilité. Il affirme que les systèmes de sécurité de 1Password ont détecté une compromission du mot de passe et qu’une réinitialisation est nécessaire sous 24 heures pour éviter le blocage du compte.

Évidemment, le lien intégré au mail redirige les victimes vers une réplique quasi parfaite de l’interface de connexion de 1Password. La suite, vous la connaissez : une fois saisis, les identifiants et la clé secrète sont immédiatement transmis aux attaquants… tout comme l’accès à l’ensemble des comptes stockés dans le gestionnaire de mots de passe.

Difficile de statuer sur l’ampleur de la campagne, mais les premiers témoignages posent question. Certains allèguent avoir reçu le mail uniquement sur l’adresse associée à leur compte 1Password, laissant supposer une fuite ciblée. D’autres, en revanche, l’ont reçu sur des adresses sans lien avec le service, suggérant une campagne de phishing massive diffusée au hasard. Une hypothèse privilégiée par 1Password, qui a assuré sur Reddit qu’aucune intrusion dans ses systèmes n’avait été détectée.

Le domaine utilisé pour l’attaque, password-proxy-redirect[.]com, aurait été enregistré le 11 mars 2025, ce qui confirme la récente mise en place de l’opération. Rapidement alerté, 1Password a signalé l’incident et confirmé que le site frauduleux avait été désactivé. Mais comme ce type d’attaque repose sur des mécanismes faciles à reproduire, rien n’empêche les pirates de créer un nouveau domaine et de relancer leur campagne.

Une réplique quasi parfaite de l'interface de connexion 1Password siphonne vos identifiants et la clé secrète associée à votre gestionnaire © -daniel-- via Reddit
Une réplique quasi parfaite de l'interface de connexion 1Password siphonne vos identifiants et la clé secrète associée à votre gestionnaire © -daniel-- via Reddit

Les bons réflexes pour éviter le piège

Comme toujours, un peu de vigilance suffit à faire la différence face à une tentative de phishing. Dans le cas de cette attaque, l’adresse de l’expéditeur (support[@]somabreath.com) n’avait rien à voir avec celle de 1Password. Un premier indice qui doit alerter, mais d’autres éléments permettent aussi d’éviter le piège :

  • Ne cliquez jamais sur un lien reçu par mail sans vérifications préalables. Si vous avez un doute, accédez directement à votre compte en saisissant l’URL officielle du service dans votre navigateur.
  • Ne vous laissez pas submerger par le sentiment urgence recherché. Un message qui vous pousse à agir immédiatement sous peine de blocage est un classique du phishing. Prenez le temps de vérifier.
  • Ne réutilisez jamais le même mot de passe ailleurs. Si un attaquant met la main sur votre mot de passe et que vous l’utilisez aussi pour d’autres comptes, c’est toute votre sécurité qui est compromise.
  • Sensibilisez votre entourage. Vous avez peut-être le bon réflexe face à ce type d’arnaque, mais ce n’est pas forcément le cas de vos proches. Expliquez-leur comment reconnaître une tentative de phishing et comment s’en protéger.
  • Utilisez un antivirus avec protection anti-phishing. Certains antivirus détectent et bloquent automatiquement les sites frauduleux avant même que vous ne saisissiez vos identifiants. Un bon complément pour éviter les erreurs d’inattention

Si vous avez reçu ce mail frauduleux, 1Password recommande de le signaler à [email protected]. Et si vous avez saisi vos identifiants sur le faux site, contactez immédiatement [email protected] pour sécuriser votre compte avant qu’il ne soit exploité.

Source : r/1Password via Reddit

À découvrir
Meilleur gestionnaire de mots de passe, le comparatif en 2025

07 mars 2025 à 16h12

Comparatifs services