Le développeur de la célèbre application de gestion de mots de passe LastPass a averti qu'une fausse application LastPass était en cours de publication sur l'App Store d'Apple, qui pourrait être une application de phishing utilisée pour voler les informations d'identification des utilisateurs. La fausse application utilise un nom similaire, des icônes similaires et une interface sur le thème rouge de la véritable application, ce qui la rend très proche du design authentique de la marque.

Cependant, le nom de cette fausse application est « LassPass », et non « LastPass », et son éditeur est « ParvatiPatel ».

L'application n'a qu'un seul avis et quatre avis avertissant qu'elle est fausse, tandis que LastPass compte plus de 52 000 avis.

Étant donné que LastPass est utilisé pour stocker des informations très sensibles telles que des secrets d'authentification et des informations d'identification (nom d'utilisateur/e-mail et mot de passe), il est probable que l'application ait été créée pour agir comme une application de phishing et voler des informations d'identification.

Squid n'a pas testé cette application, nous ne connaissons donc pas son fonctionnement interne, les processus de phishing potentiels ou tout autre détail sur ses fonctionnalités.

Le vrai LastPass alerte les clients du risque de perte de données en émettant un avertissement sur son site Internet.

L'avertissement de LastPass se lit comme suit : "Nous avons inclus l'URL de l'application frauduleuse ainsi qu'un lien vers notre application légitime afin que les clients puissent confirmer qu'ils téléchargent la bonne application LastPass jusqu'à ce que l'application frauduleuse soit supprimée. Soyez assuré que LastPass travaille activement pour supprimer cette application le plus rapidement possible et continuera à surveiller les clones frauduleux de nos applications et/ou les violations de notre propriété intellectuelle."

Il est extrêmement rare qu'une application aussi manifestement frauduleuse apparaisse dans l'App Store d'Apple en raison du processus rigoureux d'examen des applications d'Apple, qui garantit que les logiciels de l'App Store répondent à des normes élevées en matière de confidentialité, de sécurité et de contenu.

Le processus comprend des vérifications automatisées et des examens manuels par les équipes Apple pour garantir que les développeurs respectent un ensemble détaillé de directives. Pourtant, d’une manière ou d’une autre, ce clone de LastPass a été accepté.

De plus, lorsqu'Apple découvre qu'une application enfreint ses directives, elle prend généralement des mesures rapides en la supprimant de l'App Store et en bannissant le développeur. Cependant, au moment de la publication, un faux LastPass existait toujours dans l'App Store d'Apple.

Le même développeur possède une autre application apparemment légitime sur l'AppStore, de sorte que la possibilité que son compte ait été piraté par des acteurs malveillants ne peut être exclue.

Si vous avez installé une fausse application LastPass, vous devez la supprimer immédiatement et modifier votre mot de passe sur lastpass.com. Ensuite, pour des raisons de sécurité, il est recommandé d'effectuer une réinitialisation de tous les mots de passe stockés dans le coffre-fort LastPass.