SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2022-2023 Zitting 2022-2023
________________
7 mars 2023 7 maart 2023
________________
Question écrite n° 7-1934 Schriftelijke vraag nr. 7-1934

de Tom Ongena (Open Vld)
van Tom Ongena (Open Vld)

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au Premier Ministre
aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de Eerste Minister
________________
LastPass - Piratage informatique - Mots de passe - Vie privée - Sécurisation Lastpass - Hacking - Paswoorden - Privacy - Beveiliging 
________________
piratage informatique
sécurité des systèmes d'information
sécurité des infrastructures critiques
données personnelles
protection de la vie privée
usurpation d'identité
 computerpiraterij
informatiebeveiliging
beveiliging van kritieke infrastructuur
persoonlijke gegevens
eerbiediging van het privé-leven
identiteitsdiefstal
________ ________
7/3/2023Verzending vraag
(Einde van de antwoordtermijn: 6/4/2023)
5/4/2023Antwoord
7/3/2023Verzending vraag
(Einde van de antwoordtermijn: 6/4/2023)
5/4/2023Antwoord
________ ________
Aussi posée à : question écrite 7-1932
Aussi posée à : question écrite 7-1933		 Aussi posée à : question écrite 7-1932
Aussi posée à : question écrite 7-1933
________ ________
Question n° 7-1934 du 7 mars 2023 : (Question posée en néerlandais) Vraag nr. 7-1934 d.d. 7 maart 2023 : (Vraag gesteld in het Nederlands)

Le 22 décembre 2022, l'entreprise de sécurisation de mots de passe LastPass a publié un communiqué inquiétant pour ses 25,6 millions d'utilisateurs : un incident de sécurité que l'entreprise avait signalé antérieurement (le 30 novembre 2022) était en fait une fuite de données massive et préoccupante qui avait entraîné la divulgation de mots de passe cryptés par des coffres-forts numériques – les éléments clés de tout gestionnaire de mots de passe – ainsi que d'autres données des utilisateurs (cf. https://www.wired.com/story/lastpass breach vaults password managers/).

Le pirate a eu accès à une sauvegarde des données du coffre-fort des clients, qui contient des données non cryptées comme des URL, mais aussi cryptées, comme des noms d'utilisateur, des mots de passe, des notes et des données de formulaires remplis. Selon LastPass, ces données sécurisées ne peuvent être décryptées qu'avec le mot de passe principal. LastPass ne sauvegarde pas ce mot de passe.

LastPass reconnaît néanmoins que ce mot de passe principal peut être récupéré grâce à des techniques de force brute et que les données chiffrées pourraient ainsi être lues. L'entreprise affirme que si les utilisateurs ont suivi ses recommandations, comme utiliser un mot de passe principal de douze caractères, cela devrait prendre des millions d'années avant que le mot de passe ne soit décrypté «sur la base des techniques actuelles de force brute».

LastPass affirme avoir pris plusieurs mesures pour réduire le risque d'un nouveau piratage, notamment des capacités de journalisation supplémentaires, de nouveaux environnements de développement et une meilleure authentification des comptes de développeurs. LastPass a informé les forces de police et les autorités de surveillance concernées. L'entreprise met également en garde les utilisateurs contre les tentatives d'hameçonnage qui pourraient survenir à la suite de ce piratage (cf. https://tweakers.net/nieuws/204814/lastpass hackers hebben versleutelde wachtwoorden van klanten gestolen.html).

En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

J'aimerais dès lors vous poser les questions suivantes :

1) Des données de clients belges touchés par ce piratage sont-elles disponibles ? Dans l'affirmative, en connaissez-vous le nombre ? Des plaintes ou des procès-verbaux ont-ils été rédigés pour usurpation d'identité ou pour des affaires connexes liées au piratage de ce service ?

2) Les services de sécurité ont-ils indiqué que ce piratage implique un risque accru pour la sécurité de nos services ou de nos infrastructures ? Dans l'affirmative, lesquels, de combien de signalements s'agit-il, de quels services précis provenaient-ils et qu'est-il advenu de ces informations ?

3) Pouvez-vous indiquer si nos services publics et de sécurité utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces services ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ?

4) Pouvez-vous indiquer si des secteurs sensibles (approvisionnement en énergie, hôpitaux, transports publics, etc.) utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces secteurs ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ? Quels sont, selon vous, les risques encourus depuis la fuite des données ?

5) L'utilisation de tels coffres-forts numériques de mots de passe est-elle encouragée par les services publics ou de sécurité ? Compte tenu des fuites actuelles, l'utilisation de tels gestionnaires de mots de passe est-elle encore conseillée ? Dans la négative, quelles sont les alternatives recommandées ? Dans l'affirmative, quels sont les risques encourus ?

 

Voor de 25,6 miljoen gebruikers van de beveiligingsdienst LastPass deed het bedrijf op 22 december 2022 een zorgwekkende mededeling: een beveiligingsincident dat het bedrijf eerder (op 30 november 2022) had gemeld, was in werkelijkheid een grootschalig en verontrustend datalek dat gecodeerde wachtwoordkluizen – de belangrijkste onderdelen van elke wachtwoordbeheerder – blootlegde, samen met andere gebruikersgegevens (cf. https://www.wired.com/story/lastpass-breach-vaults-password-managers/).

De hacker kreeg toegang tot een back-up van de vaultgegevens van klanten, waarin zowel onversleutelde gegevens als URL's staan en versleutelde gebruikersnamen, wachtwoorden, notities en form-filled data. Deze versleutelde gegevens kunnen volgens «LastPass» alleen met het masterpassword worden ontsleuteld. Dit wachtwoord slaat LastPass niet op.

Dat masterpassword kan wel met bruteforcetechnieken achterhaald worden en de versleutelde gegevens zouden zo toch gelezen kunnen worden, erkent LastPass. Het bedrijf zegt dat als gebruikers de aanbevelingen van LastPass hebben gevolgd, zoals een master wachtwoord van twaalf tekens, dat het dan miljoenen jaren zou moeten duren voor het wachtwoord achterhaald wordt is «op basis van huidige gangbare bruteforce-technieken».

LastPass zegt meerdere stappen te hebben genomen om het risico op een vervolghack te verminderen, waaronder extra loggingmogelijkheden, nieuwe ontwikkelomgevingen en betere authentificatie van ontwikkelaaraccounts. Politiediensten en relevante toezichthouders zijn door LastPass ingeseind. Het bedrijf waarschuwt gebruikers ook voor phishingpogingen naar aanleiding van deze hack (cf. https://tweakers.net/nieuws/204814/lastpass-hackers-hebben-versleutelde-wachtwoorden-van-klanten-gestolen.html).

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft dus een transversale aangelegenheid met de Gewest waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) Zijn er gegevens beschikbaar van Belgische klanten die getroffen werden door deze hack? Zo ja, hoeveel? Zijn er klachten of processen-verbaal opgesteld over identiteitsfraude of aanverwante zaken die te maken hebben met de hack van deze service?

2) Hebben de veiligheidsdiensten aangegeven dat deze hack voor een verhoogd veiligheidsrisico zorgt voor onze diensten of infrastructuur? Zo ja, welke, hoeveel signalen, vanuit welke dienst waren ze precies afkomstig en wat werd met deze informatie gedaan?

3) Kan u meedelen of onze overheids- en veiligheidsdiensten gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren?

4) Kan u meedelen of gevoelige sectoren (energievoorziening, ziekenhuizen, openbaar vervoer, enz.) gebruik maken van deze service om paswoorden op te slaan? Zo ja, welke diensten? En welke maatregelen werden getroffen na de melding dat gegevens en paswoorden gelekt waren? Welke risico's bestaan er volgens u sinds het lekken van de gegevens?

5) Wordt het gebruik van dergelijke paswoordkluizen aangemoedigd door overheids- of veiligheidsdiensten? Is het gebruik van dergelijke paswoordmanagers nog aan te raden, gelet op de huidige lekken? Zo neen, welke alternatieven worden er aangeraden? Zo ja, welke risico's zijn er dan?

 
Réponse reçue le 5 avril 2023 : Antwoord ontvangen op 5 april 2023 :

1) Le Centre pour la Cybersécurité Belgique (CCB) m’informe qu’il n’a reçu aucune information à ce sujet. Pour les plaintes ou les rapports officiels préparés sur l’usurpation d’identité ou des questions connexes, le CCB se réfère à la police fédérale et au parquet.

En principe, une fuite de données personnelles doit être signalée à l’Autorité de protection des données (APD). Des informations générales sur cette procédure de notification sont disponibles sur le site web de l’APD: «Notifier une fuite de données» (autoriteprotectiondonnees.be).

Au 17 mars 2023, l’APD avait reçu trois rapports de fuites de données de la part de responsables du traitement (voir les questions 3) et 4)) pour lesquels Lastpass agit en tant que sous-traitant.

Lastpass étant lui-même basé en Irlande, cette société devrait, conformément au mécanisme de guichet unique prévu par le règlement général de protection des données (RGPD), signaler la fuite de données à l’autorité de régulation irlandaise.

2) Je vous renvoie à la Sûreté de l’État (VSSE).

3) Il manque un inventaire des types de coffres-forts à mots de passe utilisés par les services publics. Chaque service public est responsable de son propre inventaire donc je ne suis pas en mesure de répondre à votre question avec des chiffres complètes. Néanmoins, l’APD m’informe que l’un des trois rapports de fuites de données reçu par l’APD a été soumis par une commune.

4) Le CCB m’informe qu’il ne dispose pas de ces données pour donner une réponse correcte à cette question. L’APD m’informe que deux des trois rapports adressés à l’APD concernent des entreprises privées n’opérant pas dans les secteurs cités.

5) Les coffres-forts pour mots de passe ou les gestionnaires de mots de passe présentent des avantages et des inconvénients. L’incident de sécurité survenu chez LastPass le montre clairement. Néanmoins, nous devons veiller à ne pas jeter le bébé avec l’eau du bain après cet incident. Les coffres-forts pour mots de passe sont et resteront, jusqu’à nouvel ordre, ce que l’on appelle une «meilleure pratique» ou une bonne pratique en matière de gestion des mots de passe. Après tout, les mots de passe contenus dans un tel coffre-fort sont d’un niveau de sécurité élevé, il existe un mécanisme de synchronisation entre les différents appareils de l’utilisateur, ils sont relativement conviviaux, etc. Le CCB recommande l’utilisation de coffres-forts de mots de passe en ligne pour gérer différents mots de passe en combinaison avec la vérification de deux facteurs. Les coffres-forts à mots de passe créent également des mots de passe forts pour tous les comptes qui y sont liés. Pour le CCB, les coffres-forts à mots de passe sont considérés comme un moyen sûr de générer et de stocker un grand nombre de mots de passe différents et complexes.

1) Het Centre for cyber security Belgium (CCB) laat weten hierover geen informatie te hebben ontvangen. Voor klachten of opgemaakte processen-verbaal over identiteitsdiefstal of aanverwante zaken verwijst het CCB naar de politie en parket.

Een lek van persoonsgegevens moet in principe bij de Gegevensbeschermingsautoriteit (GBA) gemeld worden. Algemene informatie over deze meldingsprocedure is op de GBA-website terug te vinden: https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/datalek-van-persoonsgegevens.

De GBA had tegen 17 maart 2023 drie meldingen van gegevenslekken ontvangen van verwerkingsverantwoordelijken (zie vragen 3) en 4)) waarvoor Lastpass optreedt als verwerker.

Lastpass zelf is gevestigd in Ierland, dus dit bedrijf dient (conform het in de algemene verordening gegevensbescherming (AVG) voorziene één-loket-mechanisme) het gegevenslek bij de Ierse toezichthouder te melden.

2) Ik verwijs naar de Veiligheid van de Staat (VSSE).

3) Een inventarisatie van de soorten wachtwoordkluizen die door overheidsdiensten worden gebruikt ontbreekt. Elke overheidsdienst is verantwoordelijk voor de eigen inventarisatie dus ik kan u niet op deze vraag antwoorden met volledige cijfers. Desalniettemin deelt de GBA mij dat één van de drie meldingen bij de GBA werd ingediend door een gemeente.

4) Het CCB laat mij weten niet over de gegevens te beschikken om een correct antwoord op deze vraag te geven. De GBA deelt mij mee dat twee van de drie meldingen bij de GBA privébedrijven betreffen die niet actief zijn in de sectoren die hier worden geciteerd.

5) Paswoordkluizen of paswoordmanagers hebben voor- en nadelen. Dit blijkt nu ook zeer duidelijk uit het security incident bij LastPass. Toch dienen we er onzes inziens voor te hoeden om nu, naar aanleiding van dit incident, het zogenaamde kind met het badwater weg te gooien. Paswoordkluizen zijn en blijven, tot nader order, te beschouwen als een zogenaamde «best practice» of goede praktijk inzake het beheer van wachtwoorden. Immers: de paswoorden in een dergelijke kluis zijn van een hoog beveiligingsniveau, er is een synchronisatiemechanisme tussen verschillende devices van de gebruiker, ze zijn relatief gebruiksvriendelijk, enz. Het CCB beveelt het gebruik aan van online wachtwoordkluizen om verschillende wachtwoorden te beheren in combinatie met twee-factor verificatie. Wachtwoordkluizen creëren ook sterke wachtwoorden voor alle accounts die eraan gekoppeld zijn. Voor het CCB worden wachtwoordkluizen beschouwd als een veilige manier om een groot aantal verschillende en complexe wachtwoorden te genereren en op te slaan.