Le gouverneur du Missouri, Mike Parson a fait la une des journaux l’année dernière lorsqu’il s’est engagé à poursuivre pénalement un journaliste pour avoir signalé une faille de sécurité dans un site Web d’État qui exposait les informations personnelles de plus de 100 000 enseignants. Mais les procureurs du Missouri disent maintenant qu’ils ne poursuivront pas les accusations suite aux révélations selon lesquelles les données avaient été exposées depuis 2011 – deux ans après que la responsabilité de la sécurisation des systèmes informatiques de l’État a été centralisée au sein du propre bureau d’administration de Parson.
Le gouverneur du Missouri, Mike Parson (R), promettant de poursuivre le St. Louis Post-Dispatch pour avoir signalé une vulnérabilité de sécurité qui a exposé les SSN des enseignants.
En octobre 2021, journaliste du St.Louis Post-Dispatch Josh Renaud a alerté les responsables du département de l’éducation du Missouri que leur site Web exposait les numéros de sécurité sociale de plus de 100 000 enseignants du primaire et du secondaire dans l’État. Renaud a découvert que les SSN des enseignants étaient accessibles dans le code source HTML de certaines pages Web du département de l’éducation du Missouri.
Après avoir confirmé que les responsables informatiques de l’État avaient sécurisé les données exposées des enseignants, le Post-Dispatch a publié une histoire sur leurs découvertes. Le gouverneur Parson a répondu en tenant une conférence de presse au cours de laquelle il a juré que son administration chercherait à poursuivre et à enquêter sur « les pirates informatiques » et toute personne qui aurait aidé la publication dans sa « tentative d’embarrasser l’État et de vendre des titres pour leur média ».
« L’État s’est engagé à traduire en justice quiconque a piraté nos systèmes ou quiconque les a aidés à le faire », a déclaré Parson en octobre. « Un pirate informatique est une personne qui obtient un accès non autorisé à des informations ou à du contenu. Cette personne n’avait pas la permission de faire ce qu’elle a fait. Ils n’avaient aucune autorisation pour convertir ou décoder, donc c’était clairement un piratage.
Parson a chargé la Missouri Highway Patrol de produire un rapport sur leur enquête sur « les pirates ». Le lundi 21 février, The Post-Dispatch a publié le rapport de 158 pages (PDF), qui a conclu après 175 heures d’enquête que Renaud n’avait rien fait de mal et n’avait accédé qu’aux informations accessibles au public.
Des e-mails obtenus plus tard par le Post-Dispatch ont montré que le FBI avait déclaré aux responsables de la cybersécurité de l’État qu’il n’y avait « pas d’intrusion réelle dans le réseau » et que la base de données de l’État était « mal configurée ». Les e-mails ont également révélé le message proposé lorsque les responsables du département de l’éducation se sont initialement préparés à répondre en octobre :
« Nous sommes reconnaissants au membre des médias qui a porté cela à l’attention de l’État », était la citation proposée attribuée au commissaire à l’éducation de l’État avant que Parson ne commence à tirer sur le messager.
Le rapport de la Missouri Highway Patrol comprend une entrevue avec Mallory McGowin, le directeur des communications du Département de l’enseignement primaire et secondaire (DESE) de l’État. McGowin a déclaré à la police que la faiblesse du site Web avait en fait révélé 576 000 numéros de sécurité sociale des enseignants, et que les données auraient été exposées publiquement pendant une décennie.
McGowin a également déclaré que le site Web du DESE a été développé et maintenu par le Bureau de l’administration Division des services informatiques (ITSD) – que le bureau du gouverneur contrôle directement.
« J’ai demandé à Mme McGowin si j’avais raison de dire que le site Web était destiné au DESE, mais qu’il était géré par l’ITSD, et elle a indiqué que c’était correct », a écrit l’enquêteur de la Highway Patrol. « Je lui ai demandé si l’ITSD faisait partie du Bureau de l’administration, ou si le DESE avait sa section sur les technologies de l’information, et elle m’a répondu que c’était au sein du Bureau de l’administration. Elle a déclaré qu’en 2009, la politique avait été modifiée pour transférer tous les services de technologie de l’information au Bureau de l’administration.
Le rapport était une justification pour Renaud et pour l’Université du Missouri-St. Louis professeur Chaji Khan, qui a aidé le Post-Dispatch à vérifier que la faille de sécurité existait. Khan était également la cible du vœu de Parson de poursuivre « les pirates ». L’avocat de Khan Elad Gross a déclaré à la publication que son client n’était pas inculpé et que « les responsables de l’État avaient commis tous les actes répréhensibles ici ».
« Ils n’ont pas suivi les procédures de sécurité de base pendant des années, n’ont pas protégé les numéros de sécurité sociale des enseignants et n’ont pas assumé leurs responsabilités, choisissant plutôt d’ouvrir une enquête sans fondement sur deux Missouriens qui ont fait ce qu’il fallait et signalé le problème », a déclaré Gross. Post-expédition. « Nous remercions la Missouri State Highway Patrol et le bureau du procureur du comté de Cole pour leur travail diligent sur une affaire qui n’aurait jamais dû leur être envoyée. »