Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ?

12 janvier 2022 à 15h55
7
mot de passe

Le gestionnaire de mots de passe américain LastPass, qui aurait été victime d'une cyberattaque récemment, se voit en plus reprocher de possibles manquements au RGPD.

Sur Reddit, un utilisateur mécontent de la politique tarifaire de LastPass a mené sa petite enquête et dénoncé, dans un article repris par certains médias américains, la façon dont le logiciel tiendrait les données de ses utilisateurs « en otage ». Il fait peser de nombreux griefs sur LastPass en matière de données personnelles, indiquant même que le gestionnaire de mots de passe violerait le Règlement général sur la protection des données (RGPD).

Un blocage de l'exportation des mots de passe qui pousserait à utiliser la version payante de LastPass

L'utilisateur nametaken_thisonetoo accuse LastPass, arguments à l'appui, de mettre en place toute une stratégie visant à empêcher les utilisateurs souhaitant quitter l'outil d'exporter leur banque de mots de passe pour les récupérer, sous prétexte qu'ils utilisent une version gratuite du gestionnaire. Sauf que ces mots de passe équivalent ici à des données personnelles.

Sur le subreddit r/software, l'utilisateur explique que la fonction d'exportation se bloque automatiquement au bout de trois basculements entre la version de bureau de LastPass et la version mobile, ce qui empêche donc ceux dont le compte est verrouillé sur mobile d'exporter leurs données. Le blocage serait en réalité effectif peu importe la version du gestionnaire (bureau, mobile ou navigateur).

Cette pratique, si elle était avérée, reviendrait alors à pousser l'utilisateur à souscrire à l'offre payante de LastPass pour pouvoir exporter ses mots de passe, ce qui est contraire, selon l'internaute, à l'article 20 du RGPD, qui sacre le droit à la portabilité des données. Cet article dispose en effet qu'un utilisateur est en droit de recevoir les données à caractère personnel le concernant « dans un format structuré, couramment utilisé et lisible par machine » (CSV par exemple), sans que le responsable du traitement auquel les données ont été communiquées (à savoir LastPass), y fasse obstacle.

Des ennuis à répétition pour LastPass

Ce bug (volontaire ou non) d'exportation des données fut déjà signalé une première fois, le 21 mars 2021. Un employé de LastPass avait alors indiqué qu'une prochaine mise à jour corrigerait le défaut, sauf que celle-ci se fait toujours attendre, dix mois plus tard. Et les plaintes commencent à se multiplier, ce qui a, vous allez le voir, le mérite de faire bouger les choses.

La communication entre LastPass et ses utilisateurs est en tout cas compliquée, certains dénonçant le manque d'un canal de support dédié à ce type de problème, ce qui oblige les utilisateurs à « créer un compte séparé pour accéder à des forums communautaires où l'on peut publier sur la façon dont LastPass détient illégalement vos données en otage, en espérant qu'un membre de l'entreprise répondra », ajoute l'internaute nametaken_thisonetoo.

Fort heureusement, LastPass a réagi et a fini par débloquer la situation, si l'on en croit l'utilisateur. Il a en effet finalement pu, en quelques minutes, télécharger un fichier CSV de ses mots de passe. Pour ces manquements, LastPass n'est pas à l'abri d'être sanctionné en Europe, où le RGPD prévoit une amende pouvant s'élever à 20 millions d'euros, ou jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise. Une issue qui nous semble néanmoins très peu probable.

LastPass semble traverser une période tumultueuse. Le gestionnaire de mots de passe, simple à utiliser et compatible Windows et MacOS, a été victime d'une attaque informatique tout récemment, qui a abouti à l'envoi d'e-mails à destination de certains de ses utilisateurs, leur indiquant avoir relevé des tentatives d'accès à leur compte par le biais de leur mot de passe maître. Ces tentatives ont été bloquées par LastPass, qui a écarté la fuite de données, mais a indiqué avoir constaté une erreur de ses systèmes de sécurité.

A découvrir en vidéo

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
7
cirdan
Un gestionnaire de mots de passe online c’est déjà une hérésie.<br /> KeePass n’est pas très beau mais bien plus sécurisé.
clockover
Quasi toutes les solutions SaaS bride les exports. Il va falloir se reveiller…
benben99
Utilisez des compagnie européennes au lieu d’envoyer toujours vos données aux USAs… C’est pas compliqué!
HunterAlex
Tout dépend de ce qu’on entend par «&nbsp;sécurité&nbsp;». Pour certains, la sécurité consiste à pouvoir dupliquer une donnée en cas de perte (d’où l’intérêt pour les fonctionnalités de backup et d’export). Pour d’autre, la sécurité consiste justement à ne pas dupliquer la donnée, de peur qu’elle soit disponible et attaquable de plusieurs endroits…
Oli1
@Samson<br /> KeePass n’est peut-être pas pratique, mais pas sécurisé, là, je dis niet : c’est vraiment sécurisé et très bien pensé. Il faut aller dans les options pour voir tout ce que l’on peut en tirer.
Voir tous les messages sur le forum

Derniers actualités

À deux sur une trottinette électrique ? Lime a un plan pour détecter cette (dangereuse) pratique
Selon l'ESA, la mission du rover ExoMars sera (enfin) prête pour 2028
Ce nouvel écran gamer de LG est à peine croyable : dimensions, ratio, rafraîchissement... et prix !
Qu'est-ce que l'AI Act qui doit réguler l'intelligence artificielle en Europe ?
Voici 3 antivirus performants à prix compétitifs : ne laissez pas votre ordinateur vulnérable aux menaces en ligne
Scans de mangas : l'éditeur de L'Attaque des Titans va lancer une app
TOP 5 : les meilleures offres de la semaine sont disponibles ici !
Comment ajouter un port HDMI à son PC portable ? Un Raspberry Pi
Conçu pour remplacer l'humain sur les tâches pénibles, ce robot a enfin une tête... et c'est bien mieux comme ça
Ce bel écran PC de 32
Haut de page