IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le bureau du gouverneur du Missouri serait responsable de la fuite de données sur les enseignants
Les affirmations farfelues du gouverneur sur un journaliste démystifiées dans un rapport de police

Le , par Stéphane le calme

192PARTAGES

14  0 
Le gouverneur du Missouri, Mike Parson, a fait la une des journaux lorsqu'il s'est engagé à poursuivre pénalement un journaliste pour avoir signalé une faille de sécurité dans un site Web d'État qui exposait les informations personnelles de plus de 100 000 enseignants. Si les procureurs du Missouri ont décidé qu'ils n'allaient pas lancer de poursuites, une enquête policière publiée lundi est venue confirmer la pertinence de leur décision.

L'enquête a montré que la faille dans une page Web du département de l'enseignement primaire et secondaire du Missouri était présente depuis 2011 et que personne n'avait remarqué la faille jusqu'à ce que le journaliste de Post-Dispatch la signale. Le rapport de 158 pages a également montré que le journaliste Josh Renaud n'avait accédé à « rien qui n'était pas accessible au public ni à un endroit où il n'aurait pas dû être », selon une interview de la Missouri Highway Patrol avec la porte-parole du DESE, Mallory McGowin.

Le rapport a été publié plus d'une semaine après que le procureur du comté de Cole, Locke Thompson, a annoncé qu'il n'inculperait pas Renaud dans le cadre de l'enquête.


En octobre, un journaliste de Post-Dispatch a alerté l'État d'un problème de données contenu sur un site Web du ministère de l'Enseignement primaire et secondaire qui a laissé les numéros de sécurité sociale des éducateurs exposés à une consultation publique.

Après avoir alerté l'État, le journal n'a publié son rapport qu'après que les autorités eurent décidé de protéger les informations vulnérables. Le journal n'a divulgué aucune information personnelle. Une application Web qui permettait au public de rechercher les certifications et les références des enseignants contenait la vulnérabilité, a rapporté le journal.

Alors qu'aucune information privée n'était clairement visible, les numéros de sécurité sociale des enseignants, administrateurs et conseillers scolaires étaient présents et accessibles dans le code source HTML des pages accessibles au public concerné.

Les dossiers obtenus par le Post-Dispatch ont montré que la commissaire à l'éducation, Margie Vandeven, avait initialement prévu de remercier le journaliste qui a découvert la vulnérabilité.

Ils ont également montré qu'un spécialiste de la cybersécurité de l'État a informé Sandra Karsten, directrice du Département de la sécurité publique, qu'un agent du FBI a déclaré que l'incident « n'est pas une véritable intrusion dans le réseau ». Au lieu de cela, a écrit le spécialiste, l'agent du FBI a déclaré que la base de données de l'État était « mal configurée », ce qui « permettait l'utilisation d'outils open source pour interroger des données qui ne devraient pas être publiques ».

« Ces documents montrent qu'il n'y a eu aucune intrusion dans le réseau », a déclaré ce mois-ci le président et éditeur de St. Louis Post-Dispatch, Ian Caso. « Comme DESE l'a initialement reconnu, le journaliste aurait dû être remercié pour la manière responsable dont il a traité l'affaire et non pas réprimandé ou enquêté en tant que pirate informatique. »

Pourtant, peu de temps après, le gouverneur du Missouri, Mike Parson, « qui s'en est souvent pris aux médias à propos de reportages qu'il n'aime pas » a estimé que le procureur du comté de Cole lancerait la procédure pour l'ouverture d'une enquête criminelle sur le journaliste et le Post-Dispatch.

« Je ne pense pas que ce sera le cas », a déclaré Parson lorsqu'il lui a été demandé ce qu'il ferait si le procureur ne poursuivait pas l'affaire.

Parson a fait référence à une loi de l'État sur la falsification informatique, qui dit qu'une personne commet une infraction si elle modifie ou détruit des données, divulgue ou prend des données, ou accède à un réseau informatique et examine intentionnellement les informations personnelles « sciemment et sans autorisation ou sans motifs raisonnables de croire qu'elle a une telle autorisation ».

« Si quelqu'un crochète la serrure de la porte protégeant votre maison - pour une raison quelconque, ce n'est pas une bonne serrure, c'est une serrure bon marché ou tout autre problème que vous pourriez avoir - il n'a pas le droit d'entrer dans votre maison et de prendre tout ce qui vous appartient » a déclaré Parson dans un communiqué.

« L'État a fait sa part en enquêtant et en présentant ses conclusions au procureur du comté de Cole, qui a choisi de ne pas porter plainte, comme c'est sa prérogative », a déclaré la porte-parole Kelli Jones plus tôt ce mois-ci.

Suite à cette décision du procureur, l'éditeur de Post-Dispatch, Ian Caso, a déclaré dans un communiqué : « Nous sommes ravis que le procureur ait reconnu qu'il n'y avait aucune base légitime pour des accusations contre le St. Louis Post-Dispatch ou notre journaliste. Bien qu'une enquête sur la manière dont l'État a autorisé l'accès à ces informations était appropriée, les accusations contre notre journaliste étaient infondées et faites pour détourner l'embarras des échecs de l'État et à des fins politiques ».


Le rapport de police qui vient contrer les affirmations du gouverneur

Le gouverneur républicain a affirmé que Josh Renaud, le journaliste au centre de l'affaire, « agissait contre une agence d'État pour compromettre les informations personnelles des enseignants dans le but d'embarrasser l'État et de vendre les gros titres de leur média » et a déclaré que son administration « ne laissera pas ce crime contre les enseignants du Missouri impuni ».

Mais le rapport de police qui en résulte, qui a été publié lundi soit plus d'une semaine après la décision du procureur de ne pas inculper le journaliste, confirme en détail que Renaud a fait exactement ce qu'il a dit depuis le début : il a identifié une faille de sécurité en consultant le code HTML accessible au public sur un site Web d'État mal configuré et a retardé la publication d'un article sur ses conclusions jusqu'à ce que l'État ferme la faille de sécurité.

Mallory McGowin, responsable des communications du DESE, a déclaré à la police que le problème identifié par Renaud « était une erreur ou un oubli lorsque l'ITSD [Division des services de technologie de l'information] a développé l'application » et « a déclaré que la vulnérabilité était là depuis 2011, lorsque l'application a été mise en œuvre ».

McGowin a confirmé que Renaud n'avait accédé qu'aux données accessibles au public. « Elle a déclaré d'après ce qu'elle a observé que M. Renaud n'avait accès à rien qui n'était pas accessible au public, et qu'il ne se trouvait pas non plus à un endroit où il n'aurait pas dû être. Elle a déclaré que Josh Renaud semble n'avoir accédé qu'à des données publiques ouvertes », indique le rapport de police.

Thompson a déclaré au Missouri Independent que l'enquête n'avait trouvé « aucune intention criminelle », bien qu'il ait dit que cela « peut techniquement avoir été un crime » parce qu'une loi d'État sur la falsification des données informatiques « semble être si vague qu'elle décrit essentiellement quelqu'un qui utilise un ordinateur pour rechercher les informations de quelqu'un ». La loi interdit d'accéder à un système informatique pour examiner intentionnellement des informations sur une autre personne, mais précise qu'il ne s'agit d'un crime que « s'il [le fait] sciemment et sans autorisation ou sans motif raisonnable de croire qu'il dispose d'une telle autorisation ».

Alors que le Post-Dispatch a rapporté en octobre que la faille avait révélé 100 000 numéros de sécurité sociale, c'était apparemment beaucoup plus. « J'ai demandé à Mme McGowin combien d'enseignants figuraient dans la base de données, et elle a déclaré que les données remontaient à 2005, et que le nombre total serait d'environ 576 000 », a écrit le caporal Kyle Seabaugh dans le rapport de police. Renaud a déclaré à la police que l'estimation initiale de 100 000 était basée sur l'année en cours, « et il a dit avoir observé des informations indiquant que d'autres années d'informations et éventuellement des numéros de sécurité sociale des retraités figuraient dans la base de données ».

McGowin « a également déclaré que la base de données - comme d'autres services informatiques de l'État - est en fait supervisée par le bureau de l'administration de Parson, que le gouverneur contrôle ».

Le manque de chiffrement « n'avait jamais été remarqué »

Dans le code source HTML du site Web DESE, les numéros de sécurité sociale étaient encodés au format Base64, selon le rapport de police. La responsable du service client de l'ITSD, Pam Keep, « a déclaré que les données qui étaient encodées auraient dû être chiffrées », indique le rapport de police. « Mme Keep m'a dit [que le développeur de l'ITSD, David Durnow] était en train de retravailler l'application Web pour chiffrer les données avant de remettre l'application Web en ligne pour le public. Mme Keep m'a dit que l'application DESE avait environ 10 ans et que le fait que les données étaient seulement codées et non chiffrées n'avait jamais été remarqué auparavant ».

Bien que la faille n'ait pas été remarquée auparavant, McGowin a déclaré à la police que le processus de visualisation des numéros de sécurité sociale exposés « n'était pas difficile ». Elle a décrit comment Renaud a informé le département que « lorsque quelqu'un accédait à la page Web des certifications des enseignants, une personne pouvait appuyer sur "Contrôle U" ou faire un clic droit et sélectionner" Afficher la source de la page", sélectionner les données d'état d'affichage, copier et coller cela dans un décodeur, et il décoderait. Une fois les données d'état d'affichage décodées, il a été révélé qu'il y avait une ligne où "Educator SSN" était observé avec un nombre à neuf chiffres. Elle a déclaré [que] pour une raison quelconque, l'ITSD avait toujours le numéro de sécurité sociale complet à neuf chiffres dans le tableau qu'ils utilisaient ». Le décodeur utilisé par Renaud « est le premier sur la liste si vous recherchez le décodeur sur Google », a déclaré McGowin à la police.

Renaud a contacté le DESE le matin du 12 octobre et a déclaré que le Post-Dispatch avait l'intention de publier un article dans les 24 à 48 heures, « mais voulait leur faire savoir afin qu'ils puissent remédier à la situation avant la publication de l'article », a déclaré McGowin à la police. Lors d'un appel téléphonique cet après-midi-là, Renaud a dit à McGowin « qu'ils retarderaient la publication de cette actualité jusqu'à ce que la vulnérabilité soit atténuée ».

Dans la soirée du 12 octobre, McGowin a appelé Renaud et « l'a informé que les vérifications de vulnérabilité étaient toujours en cours et leur a demandé de retarder la publication de l'article jusqu'à la fermeture des bureaux le 13 octobre 2021 ». Le Post-Dispatch a accepté et a publié l'histoire le 14 octobre, après la fermeture du site Web de l'État pour maintenance. Le 13 octobre, l'État a publié un communiqué de presse affirmant « que un hacker a pris les dossiers d'au moins trois éducateurs » - "hacker" faisant référence à Renaud.

Renaud a été choqué lorsqu'il est tombé sur une faille de sécurité

En tant que développeur de la salle de presse de Post-Dispatch, l'une des responsabilités de Renaud est d'aider les journalistes à collecter et analyser des données. Renaud a déclaré à la police qu'il avait examiné le site Web du DESE parce qu'un journaliste « avait demandé son aide pour recueillir des données sur les certifications des enseignants ». Renaud a entrepris de construire un ensemble de données qui pourrait être utilisé pour trouver « des tendances ou des modèles qui pourraient conduire à une histoire ». Le rapport de police disait :

Citation Envoyé par rapport de police
Tandis qu'il faisait cela, il a déclaré qu'il avait besoin de regarder le code source pour voir la meilleure façon de collecter ces informations, et ce faisant, il a trouvé ce qu'il pensait être un numéro de sécurité sociale pour un éducateur. Il a déclaré qu'il avait localisé un paramètre intitulé "Educator SSN" et un numéro à neuf chiffres en dessous, qui, à première vue, semblait être un numéro de sécurité sociale. Il a déclaré qu'il était choqué parce qu'il ne le cherchait pas et ne s'attendait pas à trouver cette information. Je lui ai demandé combien de temps il lui avait fallu pour trouver cette information, et il a déclaré qu'il n'était pas sûr, mais qu'il avait estimé à environ deux (2) heures.
Renaud a vérifié que les numéros de sécurité sociale étaient réels en contactant trois enseignants dont les numéros figuraient dans la base de données. Renaud a déclaré à la police qu'il n'avait divulgué les numéros de sécurité sociale à personne d'autre et qu'il ne les avait pas conservés par la suite.

« J'ai demandé à M. Renaud pourquoi il pensait que cela s'était produit », a écrit Seabaugh. « Il a déclaré qu'il pensait que c'était parce qu'ils utilisaient le numéro comme identification dans le backend de leur base de données. Je lui ai demandé si cela serait normal d'après ce qu'il a vu. Il a déclaré d'après ce qu'il a vu que les informations privées devraient être conservées dans un tableau séparé qui ne communique pas avec le Web ».

Renaud a consulté Khan au sujet de la vulnérabilité, puis a contacté l'État. « Il a déclaré qu'il aurait préféré envoyer le processus par lequel il est passé à un véritable technicien, mais qu'il a été chargé de l'envoyer à Mme McGowin via l'e-mail d'enquête des médias du DESE », indique le rapport de police.

« La folle réaction du gouverneur »

Les responsables du gouvernement de l'État du Missouri avaient initialement prévu de remercier publiquement Renaud dans un communiqué de presse, selon des courriels internes publiés par le Post-Dispatch en décembre. Renaud a déclaré à la police que McGowin l'avait remercié d'avoir signalé la vulnérabilité lors d'un de leurs appels téléphoniques.

Mais le projet de remercier publiquement Renaud a été abandonné lorsque le gouverneur a décidé d'exiger une enquête criminelle sur le journaliste. Après révisions, le DESE a publié son communiqué de presse décrivant Renaud comme un hacker qui « a pris les dossiers d'au moins trois éducateurs, décodé le code source HTML et consulté le numéro de sécurité sociale (SSN) de ces éducateurs spécifiques ».

Khan a décrit l'affirmation de Parson selon laquelle Renaud est un hacker criminel comme « la réaction folle du gouverneur », selon le rapport de police. Le rapport continuait en ces termes :

Citation Envoyé par rapport de police
Il a déclaré qu'en lisant le communiqué de presse de DESE, il avait vu où ils faisaient référence à un "hacker" qui avait pris trois enregistrements et avaient présenté les choses d'une manière dans laquelle un enseignant normal serait content qu'il n'y en ait que trois et que le leur n'ait pas été affecté. Il a indiqué que c'était une chose dangereuse à faire et l'a décrite comme "au mieux irresponsable, et au pire illégale"... Il a déclaré que la façon dont l'information était diffusée était "au mieux ridicule".
Khan a déclaré à la police que les organisations responsables d'atteintes à la sécurité « sont liées par la loi et tenues de dire aux personnes concernées ce qui s'est passé et de leur donner une indication de la quantité de données en danger ». L'affirmation du DESE selon laquelle trois personnes ont été touchées « était en fait fausse, car il n'y avait aucun moyen de déterminer quels numéros de sécurité sociale pouvaient être consultés de cette façon », a-t-il déclaré à la police.

« L'encodage ne fait rien pour cacher les données sensibles »

Khan a expliqué à la police que lorsque quelqu'un cherchait sur le site Web public du DESE, les « données des enseignants étaient envoyées du serveur au navigateur et restaient " littéralement là" ». Il a déclaré que dans ces données étaient intégrés des numéros de sécurité sociale.

Khan a également expliqué que l'encodage Base64 « traduit le format des données d'un formulaire à un autre » afin de « répondre aux exigences de formatage » lorsque les données sont envoyées via HTTP. Khan « a indiqué que l'encodage ne fait rien pour cacher les données sensibles, et ce n'est pas son but ». Accéder à ces données serait une tâche facile pour quiconque a développé des applications Web, a déclaré Khan à la police.

McGowin a déclaré à la police que « d'après ce qu'elle avait entendu ces derniers jours, lorsque le site Web a été mis en ligne en 2011, cette pratique aurait été acceptable », mais « n'est plus considérée comme une "meilleure pratique"», indique le rapport de police. Cependant, Khan a déclaré à la police que la faille identifiée par Renaud « était connue depuis si longtemps que c'était "ahurissant" qu'elle existait toujours dans l'application de l'État ». Le rapport de police a raconté l'explication de Khan selon laquelle la faille était connue dans l'industrie en 2010 :

Citation Envoyé par rapport de police
Le Dr Khan a ensuite commencé à expliquer les informations connues dans le Microsoft Documentation Security Briefing de 2010, où ce problème spécifique a été abordé, et il a été conseillé aux utilisateurs de ne jamais mettre d'informations sensibles en état de vue, car vous enverriez ces informations à chaque personne qui visite votre site. Il a également indiqué qu'ils avaient dit que si vous n'aviez pas d'autre choix que d'y mettre les informations, les données devaient être chiffrées.
L'enquête n'aurait jamais dû avoir lieu, selon l'avocat de Khan

Dans sa déclaration publiée lundi, Gross, l'avocat de Khan, a déclaré que le gouvernement de l'État « n'a pas suivi les procédures de sécurité de base pendant des années, n'a pas protégé les numéros de sécurité sociale des enseignants et n'a pas assumé ses responsabilités, choisissant plutôt d'ouvrir une enquête sans fondement sur deux Missouriens qui ont fait ce qu'il fallait et ont signalé le problème. Le professeur Khan a perdu des milliers de dollars et sa famille a été terrorisée pendant quatre mois en raison de l'utilisation par le gouverneur d'agents chargés de l'application des lois de l'État à des fins politiques ».

La déclaration a appelé la législature de l'État « à protéger les Missouriens qui signalent de manière responsable ces types de failles de sécurité » et ainsi « empêcher un futur gouverneur de commettre des violations aussi flagrantes et méprisables des libertés civiles individuelles ».

« Nous remercions la Missouri State Highway Patrol et le bureau du procureur du comté de Cole pour leur travail diligent sur une affaire qui n'aurait jamais dû leur être envoyée », indique le communiqué.

Après que le procureur a clos l'enquête sans inculpation au début du mois, le bureau de Parson a continué d'insister sur le fait que Renaud avait commis un crime même si le procureur « a choisi de ne pas porter plainte ». Renaud a publié une déclaration disant que la clôture de l'affaire « est un soulagement » mais que les « menaces très médiatisées de représailles légales de Parson contre moi et le Post-Dispatch auront probablement un effet dissuasif, dissuadant les gens de signaler des failles de sécurité ou de confidentialité dans le Missouri et diminuant les chances que ces défauts soient corrigés ».

Source : rapport du Missouri State Highway Patrol (au format PDF), Josh Renaud, déclaration de l'État du Missouri

Une erreur dans cette actualité ? Signalez-nous-la !