Croyant agir en tant que bon citoyen et rendre service à son pays, Dejan Ornig va recevoir un avertissement de la justice slovène plutôt qu’une prime de bug bounty qu’il aurait méritée dans bien de situations.
Dejan Ornig est un analyste en sécurité slovène. Dans ses recherches, il découvre en 2013 des vulnérabilités dans TETRA, le système de communication du département de la police qui est supposé être sécurisé. La police slovène n’était pas la seule à utiliser ce système, mais il y avait également d’autres départements tels que l’armée, le ministère des services correctionnels, le service de renseignement slovène et quelques institutions gouvernementales qui reposent sur la sécurité. Autrement dit, la sécurité du pays était à risque, et n’importe quelle agence d’espionnage pouvait en profiter si cela n’a pas déjà été fait.
Le système TETRA qui était censé fournir une communication chiffrée n’a pas correctement été configuré. Ce qui pouvait donc permettre à l’analyste en sécurité d’intercepter beaucoup de communication avec un petit équipement et quelques logiciels.
Dejan Ornig a attendu pendant plus de deux ans, espérant voir une réaction de la police ou du ministère de l'Intérieur, avant de décider finalement de rendre sa découverte publique. Voulant vérifier les prétentions de monsieur Ornig, la police et le ministère de l'Intérieur ont alors lancé une enquête interne. Cela a permis de confirmer les conclusions de Ornig et révélé les problèmes de communications internes entre les départements. La police a aussi fait une perquisition chez l’analyste en sécurité, au cours de laquelle les ordinateurs et le matériel qu'il a utilisés pour accéder au système TETRA ont été saisis. Un faux badge de police a été également trouvé chez Dejan Ornig au cours de l'enquête, ce qui ne va donc pas jouer en sa faveur.
Si en révélant les vulnérabilités, son intention était d’aider les départements et institutions du gouvernement qui utilisent le système de communication, le 11 mai, Ornig a reçu une peine d'emprisonnement de 15 mois avec sursis pour une durée de trois ans. Les chefs d’accusation étant l’accès illégal au système de communication, la falsification des documents de la police et l’enregistrement audio illégal de communications. L’analyste en sécurité ne sera donc pas incarcéré sauf en cas d’une nouvelle condamnation pour l’une de ces infractions dans un délai de trois ans.
Il faut cependant noter que Dejan Ornig semble ne rien avoir d’un ange. Il aurait en effet selon des jugements en 2010 et 2014 prétendu faussement être un policier. Alors qu’il travaillait encore au service de sécurité G4S, il aurait aussi enregistré des conversations de son supérieur et ses collègues. Pour la sentence qui vient d’être prononcée, Dejan Ornig peut toutefois faire appel pour obtenir l’annulation de ce jugement.
L’article original est en slovène. Il a été l’objet d’une discussion en anglais sur Slashdot.
Source : podcrto.si
Voir la traduction Google du slovène en anglais (plus précise que celle du slovène en français)
Et vous ?
Que pensez-vous de cette sentence ? Est-elle méritée ?
Slovénie : un analyste en sécurité condamné à 15 mois de prison avec sursis
Après avoir révélé des vulnérabilités dans les systèmes du gouvernement
Slovénie : un analyste en sécurité condamné à 15 mois de prison avec sursis
Après avoir révélé des vulnérabilités dans les systèmes du gouvernement
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !