LastPass - Piratage informatique - Mots de passe - Vie privée - Sécurisation
piratage informatique
sécurité des systèmes d'information
sécurité des infrastructures critiques
données personnelles
protection de la vie privée
usurpation d'identité
7/3/2023 | Envoi question (Fin du délai de réponse: 6/4/2023) |
6/4/2023 | Réponse |
Aussi posée à : question écrite 7-1932
Aussi posée à : question écrite 7-1934
Le 22 décembre 2022, l'entreprise de sécurisation de mots de passe LastPass a publié un communiqué inquiétant pour ses 25,6 millions d'utilisateurs : un incident de sécurité que l'entreprise avait signalé antérieurement (le 30 novembre 2022) était en fait une fuite de données massive et préoccupante qui avait entraîné la divulgation de mots de passe cryptés par des coffres-forts numériques – les éléments clés de tout gestionnaire de mots de passe – ainsi que d'autres données des utilisateurs (cf. https://www.wired.com/story/lastpass breach vaults password managers/).
Le pirate a eu accès à une sauvegarde des données du coffre-fort des clients, qui contient des données non cryptées comme des URL, mais aussi cryptées, comme des noms d'utilisateur, des mots de passe, des notes et des données de formulaires remplis. Selon LastPass, ces données sécurisées ne peuvent être décryptées qu'avec le mot de passe principal. LastPass ne sauvegarde pas ce mot de passe.
LastPass reconnaît néanmoins que ce mot de passe principal peut être récupéré grâce à des techniques de force brute et que les données chiffrées pourraient ainsi être lues. L'entreprise affirme que si les utilisateurs ont suivi ses recommandations, comme utiliser un mot de passe principal de douze caractères, cela devrait prendre des millions d'années avant que le mot de passe ne soit décrypté «sur la base des techniques actuelles de force brute».
LastPass affirme avoir pris plusieurs mesures pour réduire le risque d'un nouveau piratage, notamment des capacités de journalisation supplémentaires, de nouveaux environnements de développement et une meilleure authentification des comptes de développeurs. LastPass a informé les forces de police et les autorités de surveillance concernées. L'entreprise met également en garde les utilisateurs contre les tentatives d'hameçonnage qui pourraient survenir à la suite de ce piratage (cf. https://tweakers.net/nieuws/204814/lastpass hackers hebben versleutelde wachtwoorden van klanten gestolen.html).
En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
J'aimerais dès lors vous poser les questions suivantes :
1) Des données de clients belges touchés par ce piratage sont-elles disponibles ? Dans l'affirmative, en connaissez-vous le nombre ? Des plaintes ou des procès-verbaux ont-ils été rédigés pour usurpation d'identité ou pour des affaires connexes liées au piratage de ce service ?
2) Les services de sécurité ont-ils indiqué que ce piratage implique un risque accru pour la sécurité de nos services ou de nos infrastructures ? Dans l'affirmative, lesquels, de combien de signalements s'agit-il, de quels services précis provenaient-ils et qu'est-il advenu de ces informations ?
3) Pouvez-vous indiquer si nos services publics et de sécurité utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces services ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ?
4) Pouvez-vous indiquer si des secteurs sensibles (approvisionnement en énergie, hôpitaux, transports publics, etc.) utilisent ce service d'enregistrement de mots de passe ? Dans l'affirmative, quels sont ces secteurs ? Quelles mesures ont été prises après l'annonce de la fuite de données et de mots de passe ? Quels sont, selon vous, les risques encourus depuis la fuite des données ?
5) L'utilisation de tels coffres-forts numériques de mots de passe est-elle encouragée par les services publics ou de sécurité ? Compte tenu des fuites actuelles, l'utilisation de tels gestionnaires de mots de passe est-elle encore conseillée ? Dans la négative, quelles sont les alternatives recommandées ? Dans l'affirmative, quels sont les risques encourus ?
1.) La Banque de données nationale générale (BNG) est une base de données policières dans laquelle sont enregistrés les faits sur base des procès-verbaux résultant des missions de police judiciaire et administrative. Elle permet de réaliser des comptages sur différentes variables statistiques telles que le nombre de faits enregistrés, les modus operandi, les objets liés à l’infraction, les moyens de transport utilisés, les destinations de lieu, etc.
Il est possible, sur base des informations disponibles dans la BNG, de fournir des rapports statistiques sur le nombre de faits enregistrés par les services de police en matière de hacking et de fraude à l’identité.
Toutefois, la base de données policières ne reprend pas d’informations permettant de savoir si l’accès a été obtenu par le biais d’un mot de passe sécurisé «Lastpass». Par conséquent, étant donné la nature spécifique des questions, il n’est pas possible de donner une réponse détaillée sur la base des informations disponibles dans la BNG.
2), 3), 4) & 5) Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB).