Mercredi, le St. Louis Post-Dispatch a publié un article sur la façon dont son personnel a découvert et signalé une faille de sécurité sur un site Web de l’éducation de l’État du Missouri qui a révélé les numéros de sécurité sociale de 100 000 enseignants du primaire et du secondaire. En conférence de presse ce matin, Le gouverneur du Missouri, Mike Parson (R) a déclaré que la correction de la faille pourrait coûter 50 millions de dollars à l’État et a juré que son administration chercherait à poursuivre et à enquêter sur les « pirates informatiques » et toute personne qui aurait aidé la publication dans sa « tentative d’embarrasser l’État et de vendre des titres pour leur média ». ”
Le gouverneur du Missouri, Mike Parson (R), promettant de poursuivre le St. Louis Post-Dispatch pour avoir signalé une vulnérabilité de sécurité qui a exposé les SSN des enseignants.
La post-expédition dit avoir découvert la vulnérabilité dans une application Web qui permettait au public de rechercher des certifications et des références d’enseignants, et que plus de 100 000 SSN étaient disponibles. L’état du Missouri Département de l’enseignement primaire et secondaire (DESE) aurait supprimé les pages concernées de son site Web mardi après avoir été informé du problème par la publication (avant la publication de l’article sur la faille).
Le journal a déclaré avoir découvert que les numéros de sécurité sociale des enseignants étaient contenus dans le code source HTML des pages concernées. En d’autres termes, les informations étaient accessibles à toute personne disposant d’un navigateur Web qui examinait également le code public du site à l’aide des outils de développement ou simplement en cliquant avec le bouton droit sur la page et en affichant le code source.
Le Post-Dispatch a rapporté qu’il n’était pas immédiatement clair depuis combien de temps les numéros de sécurité sociale et autres informations sensibles avaient été vulnérables sur le site Web DESE, et on ne savait pas non plus si quelqu’un avait exploité la faille.
Mais en une conférence de presse jeudi matinle gouverneur Parson a déclaré qu’il chercherait à poursuivre et à enquêter sur le journaliste et le plus grand journal de la région pour avoir «illégalement» accédé aux données des enseignants.
« Cette administration se dresse contre tous les auteurs qui tentent de voler des informations personnelles et de nuire aux Missouriens », a déclaré Parson. « Il est illégal d’accéder à des données et des systèmes codés afin d’examiner les informations personnelles d’autres personnes. Nous coordonnons les ressources de l’État pour répondre et utiliser toutes les méthodes légales disponibles. Mon administration a informé le procureur du comté de Cole de cette affaire, l’unité de criminalistique numérique de la Missouri State Highway Patrol mènera également une enquête sur toutes les personnes impliquées. Cet incident à lui seul peut coûter jusqu’à 50 millions de dollars aux contribuables du Missouri.
Tout en menaçant de poursuivre les journalistes dans toute la mesure permise par la loi, Parson a cherché à minimiser la gravité de la faiblesse de la sécurité, affirmant que le journaliste n’avait démasqué que trois numéros de sécurité sociale et qu ‘«il n’y avait pas d’option pour décoder les numéros de sécurité sociale pour tous les éducateurs. dans le système tout à la fois.
« L’État s’est engagé à traduire en justice quiconque a piraté nos systèmes ou quiconque les a aidés à le faire », a poursuivi Parson. « Un pirate informatique est une personne qui obtient un accès non autorisé à des informations ou à du contenu. Cette personne n’avait pas la permission de faire ce qu’elle a fait. Ils n’avaient aucune autorisation pour convertir ou décoder, donc c’était clairement un piratage.
Parson a déclaré que la personne qui a signalé la faiblesse « agissait contre une agence d’État pour compromettre les informations personnelles des enseignants dans le but d’embarrasser l’État et de vendre des gros titres pour leur média ».
« Nous ne laisserons pas ce crime contre les enseignants du Missouri rester impunis et refusons de les laisser être un pion dans la vendetta politique du média », a déclaré Parson. « Non seulement allons-nous tenir cet individu responsable, mais nous tiendrons également responsables tous ceux qui ont aidé cet individu et la société de médias qui les emploie. »
Dans une déclaration partagée avec BreachTrace, un avocat du St. Louis Post-Dispatch a déclaré que le journaliste avait agi de manière responsable en signalant ses découvertes au DESE afin que l’État puisse agir pour empêcher la divulgation et l’utilisation abusive.
« Un pirate informatique est quelqu’un qui subvertit la sécurité informatique avec une intention malveillante ou criminelle », a déclaré l’avocat Joe Martineau. « Ici, il n’y a eu aucune violation de pare-feu ou de sécurité et certainement aucune intention malveillante. Pour DESE, détourner ses échecs en qualifiant cela de « piratage » n’est pas fondé. Heureusement, ces échecs ont été découverts.
Aaron Mackey est avocat senior au Fondation de la frontière électronique (EFF), un groupe de droits numériques à but non lucratif basé à San Francisco. Mackey a qualifié la réponse du gouverneur de « vindicatif, de représailles et d’incroyablement myope ».
Mackey a noté que Post-Dispatch avait tout fait correctement, même en conservant son histoire jusqu’à ce que l’État ait corrigé la vulnérabilité. Il a déclaré que le gouverneur attaquait également les médias – qui jouent un rôle crucial en aidant à donner la parole (et souvent l’anonymat) aux chercheurs en sécurité qui pourraient autrement garder le silence sous la menace de poursuites pénales potentielles pour avoir signalé leurs découvertes directement à l’organisation vulnérable.
« C’est dangereux et mal de s’en prendre à quelqu’un qui s’est comporté de manière éthique et responsable dans le sens de la divulgation, mais aussi dans le sens journalistique », a-t-il déclaré. « Le public avait le droit de connaître la propre négligence de son gouvernement dans la construction de systèmes sécurisés et la résolution de vulnérabilités bien connues. »
Mackey a déclaré que la réponse du gouverneur Parson à cet incident est également malheureuse, car elle donnera presque certainement une pause à quiconque pourrait autrement trouver et signaler des vulnérabilités de sécurité sur des sites Web d’État qui exposent inutilement des informations ou un accès sensibles. Ce qui signifie également que ces faiblesses sont plus susceptibles d’être finalement découvertes et exploitées par de vrais criminels.
« Qualifier cela de piratage est tout simplement faux sur le plan technique, alors que c’était le propre système de l’agence d’État qui extrayait ces données SSN et les rendait accessibles au public sur leur site », a déclaré Mackey. « Et ensuite, réagir de cette manière où vous ne dites pas » merci « mais en fait allumez le journaliste et les chercheurs et poursuivez-les … c’est juste bizarre. »