Le gouverneur du Missouri, Mike Parson, menace de poursuivre en justice un journaliste et un journal qui ont découvert et divulgué de manière responsable une faille de sécurité qui a laissé les numéros de sécurité sociale des enseignants et du personnel éducatif exposés et facilement accessibles.
Le St. Louis Post-Dispatch rapporte qu'il a informé le Missouri Department of Elementary and Secondary Education (DESE) que l'un de ses outils renvoyait des pages HTML contenant les SSN des employés, mettant potentiellement en danger les informations de plus de 100 000 employés. Malgré le fait que le point de vente ait attendu que l'outil soit retiré par l'État pour publier son histoire, le journaliste a été qualifié de “hacker” par le gouverneur Parson, qui dit qu'il impliquera le procureur du comté et les enquêteurs.
Selon le Post-Dispatch, l'outil qui contenait la vulnérabilité a été conçu pour permettre au public de voir les informations d'identification des enseignants. Cependant, il aurait également inclus le SSN de l'employé dans la page qu'il a renvoyée – alors qu'il n'apparaissait apparemment pas sous forme de texte visible à l'écran, KrebsOnSecurity rapporte qu'il serait aussi simple d'y accéder que de cliquer avec le bouton droit sur la page et de cliquer sur Inspecter l'élément ou Afficher la source.
Il aurait été aussi simple de voir les SSN des employés que de cliquer sur Afficher la source. site ou tentait d'accéder aux informations privées de l'enseignant à des fins malveillantes.
Lors d'une conférence de presse, le gouverneur Parson a qualifié les actions du journaliste de « décodage du code source HTML », ce qui le rend suspect et clandestin. Cependant, il décrit littéralement comment fonctionne l'affichage d'un site Web – c'est le travail du serveur d'envoyer un fichier HTML à votre ordinateur afin que vous puissiez le voir, et tout ce qui est inclus dans ce fichier n'est pas secret (même s'il n'est pas physiquement visible sur votre l'écran lors de l'affichage de cette page Web). Le gouverneur Parson a déclaré que rien sur le site Web de DESE n'autorisait les utilisateurs à accéder aux données du SSN, mais qu'elles étaient fournies gratuitement.
Vous pouvez consulter l'intégralité de la conférence de presse du gouverneur ci-dessous.
Le Verge a contacté le Missouri DESE pour clarifier si l'outil était accessible au public ou nécessitait une connexion, et en réponse, le DESE dit que son seul commentaire (en raison de l'enquête en cours) est que les données sont désormais protégées. Bien sûr, le fait d'être accessible est un problème, qu'il soit ou non derrière une connexion.
La réponse du gouverneur va à l'encontre de la pratique standard
La réponse du Missouri est, pour le dire à la légère, l'exact opposé de la pratique standard. De nombreuses organisations ont des primes de bogue ou de sécurité d'une valeur de centaines de milliers de dollars, qu'elles paieront aux pirates qui trouvent et divulguent de manière responsable des failles comme celles-ci. La raison pour laquelle ils existent est qu'ils rendront vos systèmes plus sûrs – oui, les gens rechercheront et trouveront des vulnérabilités, mais il y avait probablement déjà quelqu'un qui le faisait de toute façon. Avec une prime aux bogues, ils vous le disent pour que vous puissiez le réparer plutôt que de vendre ces informations sur le dark web ou de les utiliser à des fins personnelles. De toute évidence, ces types de sommes ne sont pas raisonnables pour les districts scolaires, qui ont souvent des services informatiques sous-financés en raison de la réduction des budgets, mais il existe de nombreuses options entre payer de grosses sommes d'argent et menacer de poursuites judiciaires.
< p id="X05RIj">Le gouverneur Parson a déclaré que l'incident pourrait coûter 50 millions de dollars aux contribuables de l'État. Si un pirate informatique malveillant avait trouvé le trésor des SSN, cela aurait probablement coûté encore plus cher : l'État aurait quand même dû réparer le système, et il aurait des enseignants qui auraient de solides réclamations contre lui s'ils en avaient besoin. services de protection de l'identité.
Vous devez toujours corriger les vulnérabilités même si vous n'êtes pas publiquement appelé pour elles
Le gouverneur Parson (avec un communiqué de presse du Bureau de l'administration) précise que les SSN n'étaient accessibles qu'un à la fois – une liste de toutes les informations privées de tous les employés n'était pas incluse dans les fichiers HTML. Mais comme le savent tous ceux qui ont regardé la scène d'ouverture de The Social Network, il peut être trivial pour les pirates de télécharger toutes les pages d'une application et d'en retirer des informations spécifiques. Ce n'est pas parce que le journaliste ne l'a pas fait (cela aurait sans doute été irresponsable s'il l'avait fait) que cela n'a pas été possible et ne parle pas des bonnes pratiques de sécurité.
Poursuivre cette divulgation mettra personnes en danger au Missouri
Pour être clair : poursuivre le journaliste, le média et toute personne impliquée ne servira qu'à mettre en danger les personnes au Missouri, car personne ne voudra signaler les failles de sécurité qu'ils ont trouvées dans les systèmes publics si la réponse de l'État enverra les forces de l'ordre après eux. Des failles de sécurité comme celle-ci sont extrêmement regrettables, mais elles se produiront inévitablement (le Post-Dispatch rapporte qu'il a été constaté que le DESE stockait les SSN des étudiants par un audit en 2015). Avec les entités publiques et les entreprises, le vrai test n'est pas de savoir si cela se produit, mais comment vous y répondez. Malheureusement, il semble que le gouverneur Parson échoue à ce test.
Mise à jour le 14 octobre à 17h52 HE : Mise à jour pour refléter les commentaires du DESE. p>