La violation de données touchant le Centre des registres de Lituanie constitue l'une des cyberattaques étatiques les plus graves de l'histoire européenne. Des pirates informatiques — soupçonnés d'agir pour le compte d'un État hostile — ont dérobé les dossiers d'environ 600 000 citoyens lituaniens, soit près d'un cinquième de la population totale. L'incident a été découvert entre le 25 et le 27 mai 2026 ; il a exposé des noms, des codes d'identification personnels, des dates de naissance et des données de propriété immobilière, et pourrait avoir compromis les adresses d'agents des services de renseignement et des forces de l'ordre.
Violation de données en Lituanie: ce qui a été volé au Centre des registres
Le Centre des registres (Registrų centras) est une entreprise publique qui gère les bases de données civiles et foncières essentielles de la Lituanie. Il contient des informations juridiquement sensibles sur pratiquement chaque citoyen adulte: numéros d'identification personnels (asmens kodas), historique de propriété, adresses et données biographiques. Les attaquants ont extrait les dossiers d'environ 600 000 individus — soit 20% de la population lituanienne de 2,9 millions d'habitants —, ce que les enquêteurs considèrent comme une opération coordonnée soutenue par un État.
L'aspect le plus alarmant est la possible exposition des données personnelles de membres du Département de la sécurité de l'État (VSD), de la police et du renseignement militaire. Les autorités ont averti que le jeu de données volé contient probablement les adresses personnelles et les codes d'identification de personnes occupant des postes sensibles en matière de sécurité, créant des risques qui vont bien au-delà du vol d'identité ordinaire.
Comment l'attaque a été possible: des identifiants volés du ministère de la Migration
L'analyse forensique initiale a mis en évidence une défaillance de sécurité fondamentale: les comptes des employés du Centre des registres ne disposaient pas d'une authentification à deux facteurs. Les enquêteurs estiment que les attaquants ont utilisé des identifiants compromis — probablement obtenus par hameçonnage ou par bourrage d'identifiants — pour accéder directement aux bases de données de production. L'absence de 2FA signifiait qu'il n'existait aucune barrière secondaire pour stopper l'intrusion une fois les données de connexion obtenues.
Cette attaque met en lumière une vulnérabilité récurrente dans les infrastructures informatiques gouvernementales: la dépendance à l'authentification par nom d'utilisateur et mot de passe pour des systèmes hébergeant les données civiles les plus sensibles. Des chercheurs en sécurité ont noté que la 2FA obligatoire pour tous les comptes privilégiés aurait pu prévenir ou retarder considérablement l'intrusion.
Le président lituanien met en cause des États hostiles
Le président lituanien Gitanas Nauseda a publiquement attribué l'attaque à un «État hostile» — une formulation qui, dans le contexte baltique, est largement comprise comme une référence à la Russie. La Lituanie est l'un des critiques les plus véhéments du Kremlin au sein de l'UE et de l'OTAN, et ses institutions étatiques font l'objet d'opérations cybernétiques persistantes depuis des années. La déclaration du président était inhabituellement directe pour un chef d'État en exercice, reflétant la gravité de la violation et ses implications potentielles pour la sécurité nationale.
Le directeur Adrijus Jusas a démissionné sous la pression de la Première ministre et du ministre de l'Économie. Les autorités lituaniennes ont ouvert une enquête pénale, avec une coordination entre les procureurs et le Département de la sécurité de l'État. Le gouvernement a annoncé un audit complet de l'implémentation de la 2FA dans toutes les institutions étatiques.
Pourquoi cette violation diffère des fuites de données classiques
La plupart des violations de données à grande échelle visent des entités commerciales à des fins financières. Le cas lituanien est structurellement différent. Le Centre des registres détient des données officielles, légalement vérifiées, que les individus ne peuvent pas modifier. Un citoyen ne peut pas simplement «changer son code personnel» comme il réinitialiserait un mot de passe volé. Les numéros d'identification et dates de naissance dérobés restent valides et utilisables pour des demandes de documents frauduleux, de l'ingénierie sociale et du harcèlement ciblé, pour une durée indéterminée.
La possible inclusion des adresses du personnel de sécurité introduit une dimension de risque physique: des adversaires étatiques disposant d'adresses personnelles d'officiers de renseignement peuvent utiliser ces données à des fins de surveillance, de chantage, ou pire encore. Dans le contexte du conflit en Ukraine et des préoccupations sécuritaires baltiques, ces données ont une valeur stratégique bien au-delà du marché noir criminel.
Des cas comme celui-ci illustrent pourquoi les chercheurs en sécurité recommandent de plus en plus aux personnes — en particulier celles exerçant des professions sensibles — d'utiliser des VPN pour limiter l'exposition de leurs données personnelles en ligne.
