Lituanie : 600 000 dossiers d'État volés par identifiants tiers — la leçon de gouvernance des accès pour les DPO
Plus de 600 000 dossiers issus du registre d'État lituanien ont été exfiltrés grâce à des identifiants légitimes d'institutions tierces, avec une suspicion d'opération étatique étrangère. L'incident, qui a coûté son poste au directeur du Centre des Registres, est un cas d'école pour tous les DPO confrontés à la sécurité des accès et au risque sous-traitant.
Ce qui s'est passé
Le Parquet général lituanien a ouvert vendredi 22 mai 2026 une enquête pénale pour intrusion illégale dans un système d'information. La cible : le Centre of Registers (Registrų Centras), l'entreprise publique qui gère le registre immobilier et le registre des personnes morales de Lituanie. Selon les enquêteurs, plus de 600 000 enregistrements ont été copiés depuis ces deux registres payants.
Le mode opératoire est édifiant. Les attaquants n'ont pas exploité une faille logicielle : ils se sont connectés avec des identifiants légitimes attribués à des institutions habilitées à consulter ces bases. La presse lituanienne (LRT, 15min) indique que les comptes utilisés appartenaient au département lituanien des migrations. Les requêtes provenaient de l'étranger, et l'opposition conservatrice évoque ouvertement les « marques caractéristiques d'une opération de renseignement russe » — sans preuve formelle communiquée à ce stade par le parquet.
Les données exfiltrées contiennent les noms, dates de naissance, numéros nationaux d'identification, adresses postales, informations cadastrales et numéros de registre. Le Centre des Registres précise que les coordonnées de contact, les coordonnées bancaires et les pièces de procédure ne sont pas concernées. Le préjudice financier direct est estimé à plus de 111 000 €. Adrijus Jusas, directeur de l'institution, a démissionné dans la foulée. Les comptes suspects ont été bloqués et un renouvellement obligatoire des identifiants a été imposé aux organismes autorisés.
Pourquoi c'est important pour les DPO européens
Bien que l'incident se déroule hors de l'Hexagone, il tombe pleinement dans le périmètre du RGPD : registre d'État géré par une entité publique d'un État membre, données d'identification de citoyens européens, accès via des comptes d'institutions tierces. Trois mécaniques du règlement sont activées simultanément.
D'abord l'article 32 RGPD, qui impose au responsable de traitement comme au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles propres à garantir un niveau de sécurité adapté au risque. Une base d'État accessible à des milliers de comptes externes, sans authentification multi-facteurs documentée ni détection d'anomalies sur les volumes de requêtes, expose précisément le type de défaillance que la CNIL sanctionne désormais lourdement. Notre guide sur l'optimisation de la sécurité des données détaille les contrôles minimums attendus en 2026.
Ensuite l'article 28 RGPD sur la chaîne de sous-traitance. Le Centre des Registres a délégué de fait une partie de l'usage de sa base à des « institutions habilitées ». La récente analyse de la CNIL sur les cyberattaques via sous-traitants rappelle qu'un responsable de traitement reste comptable des accès consentis à des tiers, et doit pouvoir prouver qu'il a audité leur posture de sécurité.
Enfin les article 33 et article 34 RGPD, qui structurent la notification à l'autorité de contrôle sous 72 heures et l'information des personnes concernées dès lors que le risque est élevé. Numéros nationaux d'identification, adresses postales, données cadastrales : ce cocktail nourrit directement l'usurpation d'identité, le phishing ciblé et — dans le cas lituanien — la surveillance d'agents publics et de militaires. Le critère du risque élevé est manifestement franchi.
Ce que ça change pour les organisations
L'affaire lituanienne s'inscrit dans la tendance lourde de 2026 : la fuite de données n'est plus exceptionnelle, et les autorités de contrôle commencent à arbitrer entre incidents en fonction de la maturité démontrée des organisations. Notre lecture du tsunami de fuites de données analysé par Le Monde confirme que la CNIL et ses homologues priorisent désormais les manquements aux fondamentaux : gestion des accès, MFA, journalisation, procédure d'incident testée.
Concrètement, quatre actions s'imposent à court terme pour tout DPO d'organisation publique ou privée qui partage l'accès à ses bases avec des tiers.
Un, cartographier l'ensemble des comptes externes ayant un droit de lecture sur des bases de données à caractère personnel, et exiger un MFA généralisé. Deux, instrumenter la détection des anomalies de volumétrie — un compte qui exfiltre soudainement 600 000 lignes n'a aucune justification métier dans une activité normale. Trois, contractualiser et auditer les obligations de sécurité des institutions partenaires au titre de l'article 28. Quatre, tester la procédure de notification : 72 heures incluent les week-ends, les ponts et les comptes administrateurs en vacances.
Ce que Leto pense de cette décision
Ce n'est pas une fuite « technique » : c'est une fuite de gouvernance des accès. Le maillon faible n'est pas le code du Centre des Registres mais la chaîne de confiance avec les institutions habilitées. C'est exactement le type d'incident où la CNIL — en France comme l'autorité lituanienne — cherchera à savoir si le responsable de traitement pouvait prouver, avant l'incident, qu'il pilotait ses comptes tiers. Pour les DPO français, la conclusion est simple : reprendre la cartographie de tous les comptes externes pointant sur vos bases sensibles est probablement le projet à plus fort retour de conformité du trimestre.
Sources : The Record (Recorded Future News) · LRT — Lithuania investigates massive data breach · SecurityWeek · Anadolu Agency
