Pourquoi LastPass pourrait risquer une amende de 20 millions dans le cadre du RGPD ?

12 janvier 2022 à 15h55
7
mot de passe

Le gestionnaire de mots de passe américain LastPass , qui aurait été victime d'une cyberattaque récemment, se voit en plus reprocher de possibles manquements au RGPD.

Sur Reddit , un utilisateur mécontent de la politique tarifaire de LastPass a mené sa petite enquête et dénoncé, dans un article repris par certains médias américains, la façon dont le logiciel tiendrait les données de ses utilisateurs « en otage ». Il fait peser de nombreux griefs sur LastPass en matière de données personnelles, indiquant même que le gestionnaire de mots de passe violerait le Règlement général sur la protection des données (RGPD).

Un blocage de l'exportation des mots de passe qui pousserait à utiliser la version payante de LastPass

L'utilisateur nametaken_thisonetoo accuse LastPass, arguments à l'appui, de mettre en place toute une stratégie visant à empêcher les utilisateurs souhaitant quitter l'outil d'exporter leur banque de mots de passe pour les récupérer, sous prétexte qu'ils utilisent une version gratuite du gestionnaire. Sauf que ces mots de passe équivalent ici à des données personnelles.

Sur le subreddit r/software, l'utilisateur explique que la fonction d'exportation se bloque automatiquement au bout de trois basculements entre la version de bureau de LastPass et la version mobile, ce qui empêche donc ceux dont le compte est verrouillé sur mobile d'exporter leurs données. Le blocage serait en réalité effectif peu importe la version du gestionnaire (bureau, mobile ou navigateur).

Cette pratique, si elle était avérée, reviendrait alors à pousser l'utilisateur à souscrire à l'offre payante de LastPass pour pouvoir exporter ses mots de passe, ce qui est contraire, selon l'internaute, à l'article 20 du RGPD , qui sacre le droit à la portabilité des données. Cet article dispose en effet qu'un utilisateur est en droit de recevoir les données à caractère personnel le concernant « dans un format structuré, couramment utilisé et lisible par machine » (CSV par exemple), sans que le responsable du traitement auquel les données ont été communiquées (à savoir LastPass), y fasse obstacle.

Des ennuis à répétition pour LastPass

Ce bug (volontaire ou non) d'exportation des données fut déjà signalé une première fois, le 21 mars 2021. Un employé de LastPass avait alors indiqué qu'une prochaine mise à jour corrigerait le défaut, sauf que celle-ci se fait toujours attendre, dix mois plus tard. Et les plaintes commencent à se multiplier, ce qui a, vous allez le voir, le mérite de faire bouger les choses.

La communication entre LastPass et ses utilisateurs est en tout cas compliquée, certains dénonçant le manque d'un canal de support dédié à ce type de problème, ce qui oblige les utilisateurs à « créer un compte séparé pour accéder à des forums communautaires où l'on peut publier sur la façon dont LastPass détient illégalement vos données en otage, en espérant qu'un membre de l'entreprise répondra », ajoute l'internaute nametaken_thisonetoo.

Fort heureusement, LastPass a réagi et a fini par débloquer la situation, si l'on en croit l'utilisateur. Il a en effet finalement pu, en quelques minutes, télécharger un fichier CSV de ses mots de passe. Pour ces manquements, LastPass n'est pas à l'abri d'être sanctionné en Europe, où le RGPD prévoit une amende pouvant s'élever à 20 millions d'euros, ou jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise. Une issue qui nous semble néanmoins très peu probable.

LastPass semble traverser une période tumultueuse. Le gestionnaire de mots de passe, simple à utiliser et compatible Windows et MacOS, a été victime d'une attaque informatique tout récemment, qui a abouti à l'envoi d'e-mails à destination de certains de ses utilisateurs, leur indiquant avoir relevé des tentatives d'accès à leur compte par le biais de leur mot de passe maître. Ces tentatives ont été bloquées par LastPass, qui a écarté la fuite de données, mais a indiqué avoir constaté une erreur de ses systèmes de sécurité.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
7
Samson
Si j’avais appris que mon gestionnaire de mot de passe bloquait les exports, j’aurai déjà fait mes valises depuis bien longtemps.
cirdan
Un gestionnaire de mots de passe online c’est déjà une hérésie.<br /> KeePass n’est pas très beau mais bien plus sécurisé.
clockover
Quasi toutes les solutions SaaS bride les exports. Il va falloir se reveiller…
benben99
Utilisez des compagnie européennes au lieu d’envoyer toujours vos données aux USAs… C’est pas compliqué!
Samson
Pas d’accord. Bitwarden propose du on-premise qu’on peu installer sur son propre NAS ou un serveur dans un cloud privé.<br /> Sans oublié que KeePass est très loin d’être aussi pratique et sécurisé que les autres qui proposent du remplissage automatique, de l’A2F, U2F, biométrie, backup automatique chiffré, partage de vault, de la récupération de password etc.
HunterAlex
Tout dépend de ce qu’on entend par «&nbsp;sécurité&nbsp;». Pour certains, la sécurité consiste à pouvoir dupliquer une donnée en cas de perte (d’où l’intérêt pour les fonctionnalités de backup et d’export). Pour d’autre, la sécurité consiste justement à ne pas dupliquer la donnée, de peur qu’elle soit disponible et attaquable de plusieurs endroits…
Oli1
@Samson<br /> KeePass n’est peut-être pas pratique, mais pas sécurisé, là, je dis niet : c’est vraiment sécurisé et très bien pensé. Il faut aller dans les options pour voir tout ce que l’on peut en tirer.
Voir tous les messages sur le forum

Lectures liées

Diablo et Call of Duty bientôt exclusifs à Xbox ? Microsoft se paye Activision Blizzard
Spendesk devient la 5e licorne française du mois ; que fait-elle ?
Exotec devient la 25ème licorne française : mais que fait cette start-up au juste ?
La plateforme WordPress est-elle en perte de vitesse ?
Les marketplaces plaisent aux Français, dépassant la croissance du traditionnel e-commerce : voici pourquoi
Reconditionné : Back Market lève 450 millions pour se renforcer et développer de nouveaux services
Qonto est la plus grosse licorne française, après une levée d'un demi-milliard... mais que fait-elle ?
Qui est Ankorstore, la deuxième licorne française de l'année ?
Google et Apple sous le coup d'un recours collectif pour leur partenariat sur le moteur de recherche
L'Allemagne ouvre une enquête sur les pratiques anticoncurrentielles de Google
Haut de page