|
|
LastPass - Piratage informatique - Mots de passe - Vie privée - Sécurisation
piratage informatique
sécurité des systèmes d'information
sécurité des infrastructures critiques
données personnelles
protection de la vie privée
usurpation d'identité
| 7/3/2023 | Envoi question (Fin du délai de réponse: 6/4/2023) |
| 5/4/2023 | Réponse |
Aussi posée à : question écrite 7-1932
Aussi posée à : question écrite 7-1933
Le 22 décembre 2022, l'entreprise de sécurisation de mots de passe LastPass a publié un communiqué inquiétant pour ses 25,6 millions d'utilisateurs : un incident de sécurité que l'entreprise avait signalé antérieurement (le 30 novembre 2022) était en fait une fuite de données massive et préoccupante qui avait entraîné la divulgation de mots de passe cryptés par des coffres-forts numériques – les éléments clés de tout gestionnaire de mots de passe – ainsi que d'autres données des utilisateurs (cf. https://www.wired.com/story/lastpass breach vaults password managers/).
Le pirate a eu accès à une sauvegarde des données du coffre-fort des clients, qui contient des données non cryptées comme des URL, mais aussi cryptées, comme des noms d'utilisateur, des mots de passe, des notes et des données de formulaires remplis. Selon LastPass, ces données sécurisées ne peuvent être décryptées qu'avec le mot de passe principal. LastPass ne sauvegarde pas ce mot de passe.
LastPass reconnaît néanmoins que ce mot de passe principal peut être récupéré grâce à des techniques de force brute et que les données chiffrées pourraient ainsi être lues. L'entreprise affirme que si les utilisateurs ont suivi ses recommandations, comme utiliser un mot de passe principal de douze caractères, cela devrait prendre des millions d'années avant que le mot de passe ne soit décrypté «sur la base des techniques actuelles de force brute».
LastPass affirme avoir pris plusieurs mesures pour réduire le risque d'un nouveau piratage, notamment des capacités de journalisation supplémentaires, de nouveaux environnements de développement et une meilleure authentification des comptes de développeurs. LastPass a informé les forces de police et les autorités de surveillance concernées. L'entreprise met également en garde les utilisateurs contre les tentatives d'hameçonnage qui pourraient survenir à la suite de ce piratage (cf. https://tweakers.net/nieuws/204814/lastpass hackers hebben versleutelde wachtwoorden van klanten gestolen.html).
En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
J'aimerais dès lors vous poser les questions suivantes :
1) Des données de clients belges touchés par ce piratage sont-elles disponibles ? Dans l'affirmative, en connaissez-vous le nombre ? Des plaintes ou des procès-verbaux ont-ils été rédigés pour usurpation d'identité ou pour des affaires connexes liées au piratage de ce service ?
2) Les services de sécurité ont-ils indiqué que ce piratage implique un risque accru pour la sécurité de nos services ou de nos infrastructures ? Dans l'affirmative, lesquels, de combien de signalements s'agit-il, de quels services précis provenaient-ils et qu'est-il advenu de ces informations ?
3) Pouvez-vous indiquer si nos services publics et de sécurité utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces services ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ?
4) Pouvez-vous indiquer si des secteurs sensibles (approvisionnement en énergie, hôpitaux, transports publics, etc.) utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces secteurs ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ? Quels sont, selon vous, les risques encourus depuis la fuite des données ?
5) L'utilisation de tels coffres-forts numériques de mots de passe est-elle encouragée par les services publics ou de sécurité ? Compte tenu des fuites actuelles, l'utilisation de tels gestionnaires de mots de passe est-elle encore conseillée ? Dans la négative, quelles sont les alternatives recommandées ? Dans l'affirmative, quels sont les risques encourus ?
1) Le Centre pour la Cybersécurité Belgique (CCB) m’informe qu’il n’a reçu aucune information à ce sujet. Pour les plaintes ou les rapports officiels préparés sur l’usurpation d’identité ou des questions connexes, le CCB se réfère à la police fédérale et au parquet.
En principe, une fuite de données personnelles doit être signalée à l’Autorité de protection des données (APD). Des informations générales sur cette procédure de notification sont disponibles sur le site web de l’APD: «Notifier une fuite de données» (autoriteprotectiondonnees.be).
Au 17 mars 2023, l’APD avait reçu trois rapports de fuites de données de la part de responsables du traitement (voir les questions 3) et 4)) pour lesquels Lastpass agit en tant que sous-traitant.
Lastpass étant lui-même basé en Irlande, cette société devrait, conformément au mécanisme de guichet unique prévu par le règlement général de protection des données (RGPD), signaler la fuite de données à l’autorité de régulation irlandaise.
2) Je vous renvoie à la Sûreté de l’État (VSSE).
3) Il manque un inventaire des types de coffres-forts à mots de passe utilisés par les services publics. Chaque service public est responsable de son propre inventaire donc je ne suis pas en mesure de répondre à votre question avec des chiffres complètes. Néanmoins, l’APD m’informe que l’un des trois rapports de fuites de données reçu par l’APD a été soumis par une commune.
4) Le CCB m’informe qu’il ne dispose pas de ces données pour donner une réponse correcte à cette question. L’APD m’informe que deux des trois rapports adressés à l’APD concernent des entreprises privées n’opérant pas dans les secteurs cités.
5) Les coffres-forts pour mots de passe ou les gestionnaires de mots de passe présentent des avantages et des inconvénients. L’incident de sécurité survenu chez LastPass le montre clairement. Néanmoins, nous devons veiller à ne pas jeter le bébé avec l’eau du bain après cet incident. Les coffres-forts pour mots de passe sont et resteront, jusqu’à nouvel ordre, ce que l’on appelle une «meilleure pratique» ou une bonne pratique en matière de gestion des mots de passe. Après tout, les mots de passe contenus dans un tel coffre-fort sont d’un niveau de sécurité élevé, il existe un mécanisme de synchronisation entre les différents appareils de l’utilisateur, ils sont relativement conviviaux, etc. Le CCB recommande l’utilisation de coffres-forts de mots de passe en ligne pour gérer différents mots de passe en combinaison avec la vérification de deux facteurs. Les coffres-forts à mots de passe créent également des mots de passe forts pour tous les comptes qui y sont liés. Pour le CCB, les coffres-forts à mots de passe sont considérés comme un moyen sûr de générer et de stocker un grand nombre de mots de passe différents et complexes.