Le gouverneur du Missouri, Mike Parson menace de poursuites judiciaires contre un journaliste et un journal qui ont découvert et divulgué de manière responsable une faille de sécurité qui a laissé les numéros de sécurité sociale des enseignants et du personnel éducatif exposés et facilement accessibles.
Les Post-expédition de St. Louis rapports qu’il a informé le Missouri Department of Elementary and Secondary Education (DESE) que l’un de ses outils renvoyait des pages HTML contenant les SSN des employés, mettant potentiellement en danger les informations de plus de 100 000 employés. Malgré le fait que le point de vente ait attendu que l’outil soit retiré par l’État pour publier son histoire, le journaliste a été qualifié de « pirate informatique » par le gouverneur Parson, qui dit qu’il impliquera le procureur du comté et les enquêteurs.
Selon le Post-expédition, l’outil qui contenait la vulnérabilité a été conçu pour permettre au public de voir les informations d’identification des enseignants. Cependant, il aurait également inclus le SSN de l’employé dans la page qu’il a renvoyée – alors qu’il n’apparaissait apparemment pas sous forme de texte visible à l’écran, KrebsOnSecurity rapports que l’accès serait aussi simple que de cliquer avec le bouton droit sur la page et de cliquer sur Inspecter l’élément ou Afficher la source.
Alors que le journaliste a suivi les protocoles standard pour divulguer et signaler la vulnérabilité, le gouverneur le traite comme s’il attaquait le site ou tentait d’accéder aux informations privées de l’enseignant à des fins néfastes.
Lors d’une conférence de presse, le gouverneur Parson a qualifié les actions du journaliste de « décodage du code source HTML », ce qui le rend suspect et clandestin. Cependant, il décrit littéralement comment fonctionne l’affichage d’un site Web – c’est le travail du serveur d’envoyer un fichier HMTL à votre ordinateur afin que vous puissiez le voir, et tout ce qui est inclus dans ce fichier n’est pas secret (même s’il n’est pas physiquement visible sur votre l’écran lors de l’affichage de cette page Web). Le gouverneur Parson dit que rien sur le site Web de DESE n’a donné la permission aux utilisateurs pour accéder aux données du SSN, mais elles étaient fournies gratuitement.
Vous pouvez voir la conférence de presse complète du gouverneur ci-dessous.
Le bord a contacté Missouri DESE pour clarifier si l’outil était accessible au public ou nécessitait une connexion, mais n’a pas immédiatement reçu de réponse. Bien sûr, le fait d’être accessible est un problème, qu’il soit ou non derrière une connexion.
La réponse du Missouri est, pour le dire à la légère, l’exact opposé de la pratique standard. De nombreuses organisations ont des primes de bogue ou de sécurité vaut des centaines de milliers de dollars, qu’ils paieront aux pirates qui trouvent et divulguent de manière responsable des failles comme celles-ci. La raison pour laquelle ils existent est qu’ils rendront vos systèmes plus sûrs – oui, les gens rechercheront et trouveront des vulnérabilités, mais il y avait probablement déjà quelqu’un qui le faisait de toute façon. Avec une prime aux bogues, ils vous le disent pour que vous puissiez le réparer plutôt que de vendre ces informations sur le dark web ou de les utiliser à des fins personnelles. De toute évidence, ces types de sommes ne sont pas raisonnables pour les districts scolaires, qui ont souvent des services informatiques sous-financés en raison de budgets réduits, mais il existe de nombreuses options entre payer de grosses sommes d’argent et menacer de poursuites judiciaires.
Le gouverneur Parson a déclaré que l’incident pourrait coûter 50 millions de dollars aux contribuables de l’État. Si un pirate informatique malveillant avait trouvé le trésor des SSN, cela aurait probablement coûté encore plus cher : l’État aurait quand même dû réparer le système, et il y aurait des enseignants qui auraient de solides réclamations contre lui s’ils en avaient besoin. services de protection de l’identité.
Le gouverneur Parson (avec un communiqué de presse du Bureau de l’administration) précise que les SSN n’étaient accessibles qu’un à la fois – une liste de toutes les informations privées des employés n’était pas incluse dans les fichiers HTML. Mais comme quiconque est regardé la scène d’ouverture de Le réseau social sait, il peut être trivial pour les pirates de télécharger toutes les pages d’une application et d’en retirer des informations spécifiques. Ce n’est pas parce que le journaliste ne l’a pas fait (cela aurait sans doute été irresponsable s’il l’avait fait) que cela n’était pas possible et ne parle pas des bonnes pratiques de sécurité.
Pour être clair : poursuivre le journaliste, le média et toute personne impliquée ne servira qu’à mettre en danger les habitants du Missouri, car personne ne voudra signaler les failles de sécurité qu’il a trouvées dans les systèmes publics si la réponse de l’État enverra les forces de l’ordre après eux. Des failles de sécurité comme celle-ci sont extrêmement regrettables, mais elles se produiront inévitablement (le Post-expédition rapporte que le DESE s’est avéré avoir stocké les SSN des étudiants par un audit en 2015). Avec des entités publiques et les entreprises, le vrai test n’est pas de savoir si cela se produit mais comment vous y répondez. Malheureusement, il semble que le gouverneur Parson échoue à ce test.
