| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2022-2023 | Zitting 2022-2023 | ||||||||
| ________ | ________ | ||||||||
| 7 mars 2023 | 7 maart 2023 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 7-1933 | Schriftelijke vraag nr. 7-1933 | ||||||||
de Tom Ongena (Open Vld) |
van Tom Ongena (Open Vld) |
||||||||
à la ministre de l'Intérieur, des Réformes institutionnelles et du Renouveau démocratique |
aan de minister van Binnenlandse Zaken, Institutionele Hervormingen en Democratische Vernieuwing |
||||||||
| ________ | ________ | ||||||||
| LastPass - Piratage informatique - Mots de passe - Vie privée - Sécurisation | Lastpass - Hacking - Paswoorden - Privacy - Beveiliging | ||||||||
| ________ | ________ | ||||||||
| piratage informatique sécurité des systèmes d'information sécurité des infrastructures critiques données personnelles protection de la vie privée usurpation d'identité |
computerpiraterij informatiebeveiliging beveiliging van kritieke infrastructuur persoonlijke gegevens eerbiediging van het privé-leven identiteitsdiefstal |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Aussi posée à : question écrite 7-1932 Aussi posée à : question écrite 7-1934 |
Aussi posée à : question écrite 7-1932 Aussi posée à : question écrite 7-1934 |
||||||||
| ________ | ________ | ||||||||
| Question n° 7-1933 du 7 mars 2023 : (Question posée en néerlandais) | Vraag nr. 7-1933 d.d. 7 maart 2023 : (Vraag gesteld in het Nederlands) | ||||||||
Le 22 décembre 2022, l'entreprise de sécurisation de mots de passe LastPass a publié un communiqué inquiétant pour ses 25,6 millions d'utilisateurs : un incident de sécurité que l'entreprise avait signalé antérieurement (le 30 novembre 2022) était en fait une fuite de données massive et préoccupante qui avait entraîné la divulgation de mots de passe cryptés par des coffres-forts numériques – les éléments clés de tout gestionnaire de mots de passe – ainsi que d'autres données des utilisateurs (cf. https://www.wired.com/story/lastpass breach vaults password managers/). Le pirate a eu accès à une sauvegarde des données du coffre-fort des clients, qui contient des données non cryptées comme des URL, mais aussi cryptées, comme des noms d'utilisateur, des mots de passe, des notes et des données de formulaires remplis. Selon LastPass, ces données sécurisées ne peuvent être décryptées qu'avec le mot de passe principal. LastPass ne sauvegarde pas ce mot de passe. LastPass reconnaît néanmoins que ce mot de passe principal peut être récupéré grâce à des techniques de force brute et que les données chiffrées pourraient ainsi être lues. L'entreprise affirme que si les utilisateurs ont suivi ses recommandations, comme utiliser un mot de passe principal de douze caractères, cela devrait prendre des millions d'années avant que le mot de passe ne soit décrypté «sur la base des techniques actuelles de force brute». LastPass affirme avoir pris plusieurs mesures pour réduire le risque d'un nouveau piratage, notamment des capacités de journalisation supplémentaires, de nouveaux environnements de développement et une meilleure authentification des comptes de développeurs. LastPass a informé les forces de police et les autorités de surveillance concernées. L'entreprise met également en garde les utilisateurs contre les tentatives d'hameçonnage qui pourraient survenir à la suite de ce piratage (cf. https://tweakers.net/nieuws/204814/lastpass hackers hebben versleutelde wachtwoorden van klanten gestolen.html). En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention. J'aimerais dès lors vous poser les questions suivantes : 1) Des données de clients belges touchés par ce piratage sont-elles disponibles ? Dans l'affirmative, en connaissez-vous le nombre ? Des plaintes ou des procès-verbaux ont-ils été rédigés pour usurpation d'identité ou pour des affaires connexes liées au piratage de ce service ? 2) Les services de sécurité ont-ils indiqué que ce piratage implique un risque accru pour la sécurité de nos services ou de nos infrastructures ? Dans l'affirmative, lesquels, de combien de signalements s'agit-il, de quels services précis provenaient-ils et qu'est-il advenu de ces informations ? 3) Pouvez-vous indiquer si nos services publics et de sécurité utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces services ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ? 4) Pouvez-vous indiquer si des secteurs sensibles (approvisionnement en énergie, hôpitaux, transports publics, etc.) utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces secteurs ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ? Quels sont, selon vous, les risques encourus depuis la fuite des données ? 5) L'utilisation de tels coffres-forts numériques de mots de passe est-elle encouragée par les services publics ou de sécurité ? Compte tenu des fuites actuelles, l'utilisation de tels gestionnaires de mots de passe est-elle encore conseillée ? Dans la négative, quelles sont les alternatives recommandées ? Dans l'affirmative, quels sont les risques encourus ? |
Voor de 25,6 miljoen gebruikers van de beveiligingsdienst LastPass deed het bedrijf op 22 december 2022 een zorgwekkende mededeling: een beveiligingsincident dat het bedrijf eerder (op 30 november 2022) had gemeld, was in werkelijkheid een grootschalig en verontrustend datalek dat gecodeerde wachtwoordkluizen – de belangrijkste onderdelen van elke wachtwoordbeheerder – blootlegde, samen met andere gebruikersgegevens (cf. https://www.wired.com/story/lastpass-breach-vaults-password-managers/). De hacker kreeg toegang tot een back-up van de vaultgegevens van klanten, waarin zowel onversleutelde gegevens als URL's staan en versleutelde gebruikersnamen, wachtwoorden, notities en form-filled data. Deze versleutelde gegevens kunnen volgens «LastPass» alleen met het masterpassword worden ontsleuteld. Dit wachtwoord slaat LastPass niet op. Dat masterpassword kan wel met bruteforcetechnieken achterhaald worden en de versleutelde gegevens zouden zo toch gelezen kunnen worden, erkent LastPass. Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord achterhaald wordt is «op basis van huidige gangbare bruteforce-technieken». LastPass zegt meerdere stappen te hebben genomen om het risico op een vervolghack te verminderen, waaronder extra loggingmogelijkheden, nieuwe ontwikkelomgevingen en betere authentificatie van ontwikkelaaraccounts. Politiediensten en relevante toezichthouders zijn door LastPass ingeseind. Het bedrijf waarschuwt gebruikers ook voor phishingpogingen naar aanleiding van deze hack (cf. https://tweakers.net/nieuws/204814/lastpass-hackers-hebben-versleutelde-wachtwoorden-van-klanten-gestolen.html). Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewest waarbij de rol van de Gewesten vooral ligt in het preventieve luik. Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister: 1) Zijn er gegevens beschikbaar van Belgische klanten die getroffen werden door deze hack? Zo ja, hoeveel? Zijn er klachten of processen-verbaal opgesteld over identiteitsfraude of aanverwante zaken die te maken hebben met de hack van deze service? 2) Hebben de veiligheidsdiensten aangegeven dat deze hack voor een verhoogd veiligheidsrisico zorgt voor onze diensten of infrastructuur? Zo ja, welke, hoeveel signalen, vanuit welke dienst waren ze precies afkomstig en wat werd met deze informatie gedaan? 3) Kan u meedelen of onze overheids- en veiligheidsdiensten gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren? 4) Kan u meedelen of gevoelige sectoren (energievoorziening, ziekenhuizen, openbaar vervoer, enz.) gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren? Welke risico's bestaan er volgens u sinds het lekken van de gegevens? 5) Wordt het gebruik van dergelijke paswoordkluizen aangemoedigd door overheids- of veiligheidsdiensten? Is het gebruik van dergelijke paswoordmanagers nog aan te raden, gelet op de huidige lekken? Zo neen, welke alternatieven worden er aangeraden? Zo ja, welke risico's zijn er dan? |
||||||||
| Réponse reçue le 6 avril 2023 : | Antwoord ontvangen op 6 april 2023 : | ||||||||
1.) La Banque de données nationale générale (BNG) est une base de données policières dans laquelle sont enregistrés les faits sur base des procès-verbaux résultant des missions de police judiciaire et administrative. Elle permet de réaliser des comptages sur différentes variables statistiques telles que le nombre de faits enregistrés, les modus operandi, les objets liés à l’infraction, les moyens de transport utilisés, les destinations de lieu, etc. Il est possible, sur base des informations disponibles dans la BNG, de fournir des rapports statistiques sur le nombre de faits enregistrés par les services de police en matière de hacking et de fraude à l’identité. Toutefois, la base de données policières ne reprend pas d’informations permettant de savoir si l’accès a été obtenu par le biais d’un mot de passe sécurisé «Lastpass». Par conséquent, étant donné la nature spécifique des questions, il n’est pas possible de donner une réponse détaillée sur la base des informations disponibles dans la BNG. 2), 3), 4) & 5) Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB). |
1) De Algemene Nationale Gegevensbank (ANG) is een politiedatabank waarin feiten geregistreerd worden op basis van processen-verbaal die voortvloeien uit de missies van de gerechtelijke en bestuurlijke politie. Zij laat toe om tellingen uit te voeren op verschillende statistische variabelen, zoals het aantal geregistreerde feiten, de modus operandi, de voorwerpen gehanteerd bij het misdrijf, de gebruikte vervoermiddelen, de plaatsbestemming, enz. Op basis van de informatie in de ANG kan er gerapporteerd worden over het aantal door de politie geregistreerde feiten inzake hacking. De informatie of er hierbij toegang werd gekregen via de paswoordkluis «Lastpass» is echter niet aanwezig in de politiedatabank. Gezien het specifieke karakter van de vragen is het bijgevolg niet mogelijk om op basis van de informatie beschikbaar in de ANG een gedetailleerd antwoord te geven. 2), 3), 4) & 5) Deze parlementaire vraag valt niet onder mijn bevoegdheden maar behoort tot die van de eerste minister, aan wie het Centre for Cyber Security Belgium (CCB) rapporteert. |