Un journaliste du St. Louis Post-Dispatch ne sera pas inculpé après avoir signalé une faiblesse dans une base de données informatique de l'État, a déclaré vendredi le procureur du comté de Cole. Le procureur Locke Thompson a publié vendredi une déclaration à la chaîne de télévision KRCG, affirmant qu'il appréciait le fait que le gouverneur Mike Parson ait fait part de ses préoccupations, mais qu'il ne porterait pas plainte.La décision a été prise près de sept semaines après que le bureau de Thompson a reçu un rapport sur l'incident de la Missouri Highway Patrol, qui avait été chargée de l'enquête par le gouverneur l'année dernière.
En octobre, un journaliste de Post-Dispatch a alerté l'État d'un problème de données contenu sur un site web du ministère de l'Enseignement primaire et secondaire (Department of Elementary and Secondary Education ou DESE) qui a laissé les numéros de sécurité sociale des éducateurs exposés à une consultation publique.
Après avoir alerté l'État, le journal n'a publié son rapport qu'après que les autorités eurent décidé de protéger les informations vulnérables. Le journal n'a divulgué aucune information personnelle. Une application web qui permettait au public de rechercher les certifications et les références des enseignants contenait la vulnérabilité, a rapporté le journal.
Alors qu'aucune information privée n'était clairement visible, les numéros de sécurité sociale des enseignants, administrateurs et conseillers scolaires étaient présents et accessibles dans le code source HTML des pages accessibles au public concerné.
Les dossiers obtenus par le Post-Dispatch ont montré que la commissaire à l'éducation, Margie Vandeven, avait initialement prévu de remercier le journaliste qui a découvert la vulnérabilité.
Ils ont également montré qu'un spécialiste de la cybersécurité de l'État a informé Sandra Karsten, directrice du Département de la sécurité publique, qu'un agent du FBI a déclaré que l'incident « n'est pas une véritable intrusion dans le réseau ». Au lieu de cela, a écrit le spécialiste, l'agent du FBI a déclaré que la base de données de l'État était « mal configurée », ce qui « permettait l'utilisation d'outils open source pour interroger des données qui ne devraient pas être publiques ».
« Ces documents montrent qu'il n'y a eu aucune intrusion dans le réseau », a déclaré ce mois-ci le président et éditeur de St. Louis Post-Dispatch, Ian Caso. « Comme DESE l'a initialement reconnu, le journaliste aurait dû être remercié pour la manière responsable dont il a traité l'affaire et non pas réprimandé ou enquêté en tant que pirate informatique. »
Pourtant, peu de temps après, le gouverneur du Missouri, Mike Parson, « qui s'en est souvent pris aux médias à propos de reportages qu'il n'aime pas » a estimé que le procureur du comté de Cole lancerait la procédure pour l'ouverture d'une enquête criminelle sur le journaliste et le Post-Dispatch.
« Je ne pense pas que ce sera le cas », a déclaré Parson lorsqu'il lui a été demandé ce qu'il ferait si le procureur ne poursuivait pas l'affaire.
Parson a fait référence à une loi de l'État sur la falsification informatique, qui dit qu'une personne commet une infraction si elle modifie ou détruit des données, divulgue ou prend des données, ou accède à un réseau informatique et examine intentionnellement les informations personnelles « sciemment et sans autorisation ou sans motifs raisonnables de croire qu'elle a une telle autorisation ».
« Si quelqu'un crochète la serrure de la porte protégeant votre maison - pour une raison quelconque, ce n'est pas une bonne serrure, c'est une serrure bon marché ou tout autre problème que vous pourriez avoir - il n'a pas le droit d'entrer dans votre maison et de prendre tout ce qui vous appartient » a déclaré Parson dans un communiqué.
Un commentateur sur l'histoire Post-Dispatch propose une analogie plus appropriée :
« Une meilleure analogie serait que vous marchiez dans la rue devant la maison d'un voisin et que vous remarquiez sa porte d'entrée grande ouverte sans personne autour. Vous pouvez voir un sac à main et des clés de voiture près de la porte. Vous téléphonez à ce voisin et lui dites que sa porte est ouverte et que son sac à main et ses clés sont facilement visibles depuis la rue. Parson considèrerait-il cette situation comme étant une introduction par effraction ? »
Le capitaine John Hotz, porte-parole de la Missouri State Highway Patrol, a déclaré lundi 27 décembre 2021 que l'agence avait terminé son enquête sur le Post-Dispatch et avait renvoyé l'affaire au procureur du comté de Cole, Locke Thompson.
Le gouverneur du Missouri, Mike Parson, le 29 décembre 2021, parle d'accusations possibles contre le Post-Dispatch du procureur du comté de Cole après qu'un article d'octobre ait alerté les responsables d'une vulnérabilité des données sur un site web de l'État
Le journaliste ne sera pas poursuivi
« L'État a fait sa part en enquêtant et en présentant ses conclusions au procureur du comté de Cole, qui a choisi de ne pas porter plainte, comme c'est sa prérogative », a déclaré la porte-parole Kelli Jones.
L'éditeur de Post-Dispatch, Ian Caso, a déclaré vendredi dans un communiqué : « Nous sommes ravis que le procureur ait reconnu qu'il n'y avait aucune base légitime pour des accusations contre le St. Louis Post-Dispatch ou notre journaliste. Bien qu'une enquête sur la manière dont l'État a autorisé l'accès à ces informations était appropriée, les accusations contre notre journaliste étaient infondées et faites pour détourner l'embarras des échecs de l'État et à des fins politiques. ».
Dans sa déclaration, le procureur Locke Thompson a indiqué que l'argument de la violation de la loi pouvait être valide.
« Cependant, après examen du dossier, les problèmes au cœur de l'enquête ont été résolus par des moyens non légaux », a déclaré Thompson. « En tant que tel, il n'est pas dans l'intérêt des citoyens du comté de Cole d'utiliser les ressources importantes et l'argent des contribuables qui seraient nécessaires pour poursuivre des poursuites pénales pour délit dans cette affaire ».
Pas plus tard que le 29 décembre, Parson avait exprimé sa confiance véhémente qu'une affaire serait intentée.
Le journaliste du Post-Dispatch Josh Renaud, qui est au centre de l'affaire, a déclaré dans un communiqué vendredi : « Cette décision est un soulagement. Mais cela ne répare pas le mal qui m'a été fait, à moi et à ma famille. Mes actions étaient tout à fait légales et conformes aux principes journalistiques établis ».
Aucune autorisation n'est requise pour examiner les sites web publics, mais certains chercheurs affirment que des lois trop larges sur le piratage dans de nombreuses juridictions permettent à des institutions embarrassées de lancer des allégations de piratage contre de bons samaritains qui tentent de signaler les vulnérabilités avant qu'elles ne soient exploitées.
Les e-mails obtenus par le Post-Dispatch ont révélé que le FBI avait déclaré aux responsables de la cybersécurité de l'État qu'il n'y avait « pas d'intrusion réelle dans le réseau » et que la base de données de l'État était « mal configurée ».
Les dossiers ont montré qu'Angie Robinson, spécialiste de la cybersécurité pour l'État, a envoyé un e-mail à la directrice du Département de la sécurité publique, Sandra Karsten, pour l'informer qu'elle avait transmis des e-mails du Post-Dispatch à Kyle Storm du FBI à Saint-Louis. Robinson a déclaré que l'agent du FBI avait indiqué qu'il n'y avait pas eu « d'intrusion dans le réseau ».
Les e-mails ont également révélé que DESE avait initialement prévu de remercier le journal de l'avoir alerté sur le problème.
« Nous sommes reconnaissants au membre des médias qui a porté cela à l'attention de l'État », était la citation proposée attribuée à la commissaire à l'éducation Margie Vandeven.
L'État a finalement qualifié Renaud de « hacker ».
Caso, l'éditeur de Post-Dispatch, a déclaré : « Cette affaire n'aurait jamais dû aller au-delà de la réponse initiale prévue de l'État, qui était de remercier le journaliste pour la manière responsable dont il a géré la situation. Au lieu de cela, trop d'argent des contribuables a été gaspillé dans une enquête à motivation politique ».
Source : décision du procureur Locke Thompson, chaîne de télévision KRCG
Et vous ?
Que pensez-vous de cette décision ? Était-elle prévisible selon vous ? 
