Discussion :

[Invité]

Bonjour,

« En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. En pratiquant de la rétro-ingénierie sur un terminal de paiement qu'il rachète à un commerçant, il analyse chaque étape de la procédure de paiement par carte à puce et casse la clé privée gérant l'authentification des cartes par le lecteur. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

Dès l'été 1998, il mandate un avocat spécialiste de droit industriel et deux experts en propriété industrielle pour tenter – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires en les avertissant de la vulnérabilité découverte. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant onze carnets de tickets de métro, assortis de dix facturettes, au moyen de dix cartes de sa fabrication à partir de distributeurs automatiques disposés dans les stations Balard et Charles Michels. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire, en guise d'appel « devant tous ». Pendant ce temps, le parquet a fait appel et la confirmation du jugement du TGI est établi par la cour d’appel de Paris, le 6 décembre 2000.

Licencié de l'entreprise GFI pour faute grave suite à la médiatisation de son affaire, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech. »

Source Wikipedia : Serge Humpich

[Edit]
Et décidemment, la culture américaine au sens états-unien est en perdition :

« Francis William Abagnale, Jr., né le 27 avril 1948 à Bronxville, est un ancien imposteur franco-américain reconverti consultant en sécurité.

Dans les années 1960, dès l’âge de 16 ans, il utilise des chèques falsifiés avec l'aide de Sarah L'intermy, afin de voyager aux frais de la Pan American World Airways. Il voyage ainsi à travers 26 pays avant d'avoir atteint ses 19 ans. En seulement cinq années, il travaille sous huit identités différentes — bien qu'il ait également utilisé d'autres méthodes pour collecter les chèques — et utilise de faux chèques pour une valeur totale de 2,5 millions de dollars dans 26 pays.

Il travaille ensuite comme consultant en matière de lutte contre la fraude au sein de sa compagnie, la Abagnale and Associates.

Son histoire inspire le film Arrête-moi si tu peux, ainsi qu'une comédie musicale du même nom . Ces œuvres ne constituent pas à proprement parler une biographie relatant des faits authentiques mais seraient plutôt une narration fantaisiste de ses principales fraudes de jeunesse. »

Source Wikipedia : Frank Abagnale, Jr.

Ce que tu décris ressemble fortement au principe de la "Yes card". Une CB piratée, qui donne toujours une approbation pour faire un retrait en DAB/GAB ou en paiement sur automate (parking,péage ... ).

Dans le fond oui c'est horrible de considérer le lanceur d'alerte comme "coupable" ... Coupable de signaler un fait de compromission ??? Quand on est face à des cas quasi schizophrénique ou des dirigeants ne voient pas qu'on les alerte, malheureusement oui il devient impératif de se jeter dans la gueule du requin ... C'est comme au échec , faut se "sacrifier" comme dit l'adage.

Face au juge : "Bonjour M'sieur le juge, voici toutes les preuves des alertes envoyées et restées sans réponses ... " . A moins d'avoir un juge aveugle, sourd et muet il n'y a pas grand chose à faire ^^

[tGQ7zxFY]

Heu, j'ai consulté le code source de developpez.net.

Allez-vous porter plainte contre moi?

[Invité]

Heu, j'ai consulté le code source de developpez.net.

Allez-vous porter plainte contre moi?

Bandit !

[Paul_Le_Heros]

Salut tous,
Je vous signale que, sauf erreur de ma part, l'Europe a déclaré justiciables les lanceurs d'alerte. Et je crois que ça date de l'époque Sarkozy (?)...
Si des grabataires aux commandes sont flippants, ceux qui nous servent de parlementaires le sont tout autant !

[edrobal]

Cela nous montre dans quelle direction on va. Les USA ne font que nous précéder. D'abord des atteintes à la liberté d'expression sous prétexte de nous protéger d'informations malveillantes puis des lois de plus en plus coercitives puis... Big Brother.

[Paul_Le_Heros]

Cela nous montre dans quelle direction on va…

Bonjour edrobal
Si vous êtes un Français "réfugié" en Suisse, profitez en bien et toute votre vie si possible : l'air y est plus respirable qu'en France et je suppose que c'est le filtre de la constitution suisse qui en est la raison : l'unique démocratie directe du Monde !
Si vous êtes un Suisse natif, alors je ne vous comprends pas. Le système politique suisse n'est pas parfait, mais il est des moins pires (comme disent d'autres Francophones) ! Si vous ne touchez pas, en dénonçant les abuseurs, à l'immobilier ou aux banques, derniers refuges des délinquants en col blanc, alors vous et votre peuple devriez pas trop souffrir des riches qui ne le sont jamais assez…

La Suisse ne trouve pas d'accord avec l'union européenne et c'est bien ainsi : ne vous laissez pas bouffer par vos voisins qui se croient tout-permis.

[quercy9113]

Ils sont cons ou quoi ? Consultation n ' est pas écriture et nous ne sommes que le premier janvier .

Nous avons aussi notre lot de réprésentants politiques dans le même état _ _ _ avez-vous essayé de consulter sur un sujet d'intérêt général ou qui concerne une dérive actuelle; votre député(e) sur son site de l'assemblée nationale ?
- Même pas d'A.R. de votre message.
- Si ce n'est pas sa spécialité, pas de transmission à un collègue ou ministre concerné.
- Et lorsqu'on interroge sur son profil parlementaire, on s'aperçoit qu'il(elle) épaulée par 3 assistants parlementaires.
Nombre d'entre ces nouveaux ont pourtant rayé les parquets tant leurs dents étaient longues.
Nous ne sommes pas près de bouffer de l'oie avec ces individus(es).

[edrobal]

Bonjour edrobal
Si vous êtes un Français "réfugié" en Suisse, profitez en bien et toute votre vie si possible : l'air y est plus respirable qu'en France et je suppose que c'est le filtre de la constitution suisse qui en est la raison : l'unique démocratie directe du Monde !
Si vous êtes un Suisse natif, alors je ne vous comprends pas. Le système politique suisse n'est pas parfait, mais il est des moins pires (comme disent d'autres Francophones) ! Si vous ne touchez pas, en dénonçant les abuseurs, à l'immobilier ou aux banques, derniers refuges des délinquants en col blanc, alors vous et votre peuple devriez pas trop souffrir des riches qui ne le sont jamais assez…

La Suisse ne trouve pas d'accord avec l'union européenne et c'est bien ainsi : ne vous laissez pas bouffer par vos voisins qui se croient tout-permis.

Obligation vaccinale déguisée comme ailleurs, où est la démocratie ? Je vous laisse avec vos illusions. La Suisse est aussi aux mains d'une caste néo libérale pure et dure. Cela dit, je ne suis pas un réfugié fiscale, seulement un franco suisse sans illusion.

[domi65]

Ben oui, les journaleux, vous n'avez rien fait pour Assange, voilà le résultat.
Vous avez en quelque sorte dit au gouvernement étasunien "faite ce que vous voulez contre les journaliste, au mieux on vous soutient, au pire on ne dira rien." Qu'est-ce que vous espériez ?

[fatbob]

La connerie de certains politiciens américains est d'une niveau assez hallucinant. Pire qu'en France, et c'est pas peu dire.

Pire qu'en France ? Nous, on a eu l'affaire Bluetouff (fondateur de reflets.info) qui s'est fait condamner pour avoir soit disant piraté l'ANSES alors que les documents étaient indexés dans google.

Et pour avoir suivi quelques débats à l'assemblée sur des sujets informatiques, je n'ai pas été impressionné par nos députés qui ne comprennent de toute évidence pas grand chose aux sujets sur lesquels ils légifèrent et qui ont tendance à se faire facilement beurrer les lunettes par les lobbies (et sans doute plus si affinité).

Donc non, les américains ne sont pas pires

[tontonCD]

Puisqu'on en est aux analogies, si vous parlez à quelqu'un et constatez qu'il est myope, il peut vous accuser d'avoir illégalement accédé à ses données médicales ?
Sérieusement, on publie une page html, automatiquement on publie son code source. C'est à celui qui la publie de faire attention.

[Stéphane le calme]

Un journaliste qualifié de « hacker » par le gouverneur du Missouri ne sera pas poursuivi pour falsification informatique,
après avoir consulté la source HTML d'un site web géré par un ministère

Un journaliste du St. Louis Post-Dispatch ne sera pas inculpé après avoir signalé une faiblesse dans une base de données informatique de l'État, a déclaré vendredi le procureur du comté de Cole. Le procureur Locke Thompson a publié vendredi une déclaration à la chaîne de télévision KRCG, affirmant qu'il appréciait le fait que le gouverneur Mike Parson ait fait part de ses préoccupations, mais qu'il ne porterait pas plainte.

La décision a été prise près de sept semaines après que le bureau de Thompson a reçu un rapport sur l'incident de la Missouri Highway Patrol, qui avait été chargée de l'enquête par le gouverneur l'année dernière.

En octobre, un journaliste de Post-Dispatch a alerté l'État d'un problème de données contenu sur un site web du ministère de l'Enseignement primaire et secondaire (Department of Elementary and Secondary Education ou DESE) qui a laissé les numéros de sécurité sociale des éducateurs exposés à une consultation publique.

Après avoir alerté l'État, le journal n'a publié son rapport qu'après que les autorités eurent décidé de protéger les informations vulnérables. Le journal n'a divulgué aucune information personnelle. Une application web qui permettait au public de rechercher les certifications et les références des enseignants contenait la vulnérabilité, a rapporté le journal.

Alors qu'aucune information privée n'était clairement visible, les numéros de sécurité sociale des enseignants, administrateurs et conseillers scolaires étaient présents et accessibles dans le code source HTML des pages accessibles au public concerné.

Les dossiers obtenus par le Post-Dispatch ont montré que la commissaire à l'éducation, Margie Vandeven, avait initialement prévu de remercier le journaliste qui a découvert la vulnérabilité.

Ils ont également montré qu'un spécialiste de la cybersécurité de l'État a informé Sandra Karsten, directrice du Département de la sécurité publique, qu'un agent du FBI a déclaré que l'incident « n'est pas une véritable intrusion dans le réseau ». Au lieu de cela, a écrit le spécialiste, l'agent du FBI a déclaré que la base de données de l'État était « mal configurée », ce qui « permettait l'utilisation d'outils open source pour interroger des données qui ne devraient pas être publiques ».

« Ces documents montrent qu'il n'y a eu aucune intrusion dans le réseau », a déclaré ce mois-ci le président et éditeur de St. Louis Post-Dispatch, Ian Caso. « Comme DESE l'a initialement reconnu, le journaliste aurait dû être remercié pour la manière responsable dont il a traité l'affaire et non pas réprimandé ou enquêté en tant que pirate informatique. »

Pourtant, peu de temps après, le gouverneur du Missouri, Mike Parson, « qui s'en est souvent pris aux médias à propos de reportages qu'il n'aime pas » a estimé que le procureur du comté de Cole lancerait la procédure pour l'ouverture d'une enquête criminelle sur le journaliste et le Post-Dispatch.

« Je ne pense pas que ce sera le cas », a déclaré Parson lorsqu'il lui a été demandé ce qu'il ferait si le procureur ne poursuivait pas l'affaire.

Parson a fait référence à une loi de l'État sur la falsification informatique, qui dit qu'une personne commet une infraction si elle modifie ou détruit des données, divulgue ou prend des données, ou accède à un réseau informatique et examine intentionnellement les informations personnelles « sciemment et sans autorisation ou sans motifs raisonnables de croire qu'elle a une telle autorisation ».

« Si quelqu'un crochète la serrure de la porte protégeant votre maison - pour une raison quelconque, ce n'est pas une bonne serrure, c'est une serrure bon marché ou tout autre problème que vous pourriez avoir - il n'a pas le droit d'entrer dans votre maison et de prendre tout ce qui vous appartient » a déclaré Parson dans un communiqué.

Un commentateur sur l'histoire Post-Dispatch propose une analogie plus appropriée :

« Une meilleure analogie serait que vous marchiez dans la rue devant la maison d'un voisin et que vous remarquiez sa porte d'entrée grande ouverte sans personne autour. Vous pouvez voir un sac à main et des clés de voiture près de la porte. Vous téléphonez à ce voisin et lui dites que sa porte est ouverte et que son sac à main et ses clés sont facilement visibles depuis la rue. Parson considèrerait-il cette situation comme étant une introduction par effraction ? »

Le capitaine John Hotz, porte-parole de la Missouri State Highway Patrol, a déclaré lundi 27 décembre 2021 que l'agence avait terminé son enquête sur le Post-Dispatch et avait renvoyé l'affaire au procureur du comté de Cole, Locke Thompson.

Le gouverneur du Missouri, Mike Parson, le 29 décembre 2021, parle d'accusations possibles contre le Post-Dispatch du procureur du comté de Cole après qu'un article d'octobre ait alerté les responsables d'une vulnérabilité des données sur un site web de l'État

Le journaliste ne sera pas poursuivi

« L'État a fait sa part en enquêtant et en présentant ses conclusions au procureur du comté de Cole, qui a choisi de ne pas porter plainte, comme c'est sa prérogative », a déclaré la porte-parole Kelli Jones.

L'éditeur de Post-Dispatch, Ian Caso, a déclaré vendredi dans un communiqué : « Nous sommes ravis que le procureur ait reconnu qu'il n'y avait aucune base légitime pour des accusations contre le St. Louis Post-Dispatch ou notre journaliste. Bien qu'une enquête sur la manière dont l'État a autorisé l'accès à ces informations était appropriée, les accusations contre notre journaliste étaient infondées et faites pour détourner l'embarras des échecs de l'État et à des fins politiques. ».

Dans sa déclaration, le procureur Locke Thompson a indiqué que l'argument de la violation de la loi pouvait être valide.

« Cependant, après examen du dossier, les problèmes au cœur de l'enquête ont été résolus par des moyens non légaux », a déclaré Thompson. « En tant que tel, il n'est pas dans l'intérêt des citoyens du comté de Cole d'utiliser les ressources importantes et l'argent des contribuables qui seraient nécessaires pour poursuivre des poursuites pénales pour délit dans cette affaire ».

Pas plus tard que le 29 décembre, Parson avait exprimé sa confiance véhémente qu'une affaire serait intentée.

Le journaliste du Post-Dispatch Josh Renaud, qui est au centre de l'affaire, a déclaré dans un communiqué vendredi : « Cette décision est un soulagement. Mais cela ne répare pas le mal qui m'a été fait, à moi et à ma famille. Mes actions étaient tout à fait légales et conformes aux principes journalistiques établis ».

Aucune autorisation n'est requise pour examiner les sites web publics, mais certains chercheurs affirment que des lois trop larges sur le piratage dans de nombreuses juridictions permettent à des institutions embarrassées de lancer des allégations de piratage contre de bons samaritains qui tentent de signaler les vulnérabilités avant qu'elles ne soient exploitées.

Les e-mails obtenus par le Post-Dispatch ont révélé que le FBI avait déclaré aux responsables de la cybersécurité de l'État qu'il n'y avait « pas d'intrusion réelle dans le réseau » et que la base de données de l'État était « mal configurée ».

Les dossiers ont montré qu'Angie Robinson, spécialiste de la cybersécurité pour l'État, a envoyé un e-mail à la directrice du Département de la sécurité publique, Sandra Karsten, pour l'informer qu'elle avait transmis des e-mails du Post-Dispatch à Kyle Storm du FBI à Saint-Louis. Robinson a déclaré que l'agent du FBI avait indiqué qu'il n'y avait pas eu « d'intrusion dans le réseau ».

Les e-mails ont également révélé que DESE avait initialement prévu de remercier le journal de l'avoir alerté sur le problème.

« Nous sommes reconnaissants au membre des médias qui a porté cela à l'attention de l'État », était la citation proposée attribuée à la commissaire à l'éducation Margie Vandeven.

L'État a finalement qualifié Renaud de « hacker ».

Caso, l'éditeur de Post-Dispatch, a déclaré : « Cette affaire n'aurait jamais dû aller au-delà de la réponse initiale prévue de l'État, qui était de remercier le journaliste pour la manière responsable dont il a géré la situation. Au lieu de cela, trop d'argent des contribuables a été gaspillé dans une enquête à motivation politique ».

Source : décision du procureur Locke Thompson, chaîne de télévision KRCG

Et vous ?

Que pensez-vous de cette décision ?
Était-elle prévisible selon vous ?

[sylsau]

Encore heureux !

C'est le monde à l'envers quand même.

[walfrat]

Caso, l'éditeur de Post-Dispatch, a déclaré: «Cette affaire n'aurait jamais dû aller au-delà de la réponse initiale prévue de l'État, qui était de remercier le journaliste pour la manière responsable dont il a géré la situation. Au lieu de cela, trop d'argent des contribuables a été gaspillé dans une enquête à motivation politique ».

J'aime cette conclusion, c'est une belle claque à ceux qui ont provoqué le problème.

[Invité]

Bonsoir,

Un journaliste qualifié de « hacker » par le gouverneur du Missouri ne sera pas poursuivi pour falsification informatique, après avoir consulté la source HTML d'un site web géré par un ministère

Que pensez-vous de cette décision ?

Sage décision que le non lieu. Tout de même le lanceur d'alerte se décarcasse et se prend encore une plainte au cul ! C'est plutôt l'administration derrière le site, qu'on devrait poursuivre pour absence de moyen ...

Était-elle prévisible selon vous ?

Non car les politiques peuvent la faire à l'envers ... Le coupable devient la victime et la victime coupable .

A ce jeu autant accuser le prochain quidam qui trouve un macchabée de meurtrier

«Cette affaire n'aurait jamais dû aller au-delà de la réponse initiale prévue de l'État, qui était de remercier le journaliste pour la manière responsable dont il a géré la situation.

Forcement quand on commence à ébruiter , les politiques tremblent

Au lieu de cela, trop d'argent des contribuables a été gaspillé dans une enquête à motivation politique ».

Bah , le lanceur l'alerte pourrait même demander un dédommagement à l'état ... pour plainte abusive. Voir pour calomnie.

[Stéphane le calme]

Le bureau du gouverneur du Missouri serait responsable de la fuite de données sur les enseignants,
les affirmations farfelues du gouverneur du Missouri sur un journaliste démystifiées dans un rapport de police

Le gouverneur du Missouri, Mike Parson, a fait la une des journaux lorsqu'il s'est engagé à poursuivre pénalement un journaliste pour avoir signalé une faille de sécurité dans un site Web d'État qui exposait les informations personnelles de plus de 100 000 enseignants. Si les procureurs du Missouri ont décidé qu'ils n'allaient pas lancer de poursuites, une enquête policière publiée lundi est venue confirmer la pertinence de leur décision.

L'enquête a montré que la faille dans une page Web du département de l'enseignement primaire et secondaire du Missouri était présente depuis 2011 et que personne n'avait remarqué la faille jusqu'à ce que le journaliste de Post-Dispatch la signale. Le rapport de 158 pages a également montré que le journaliste Josh Renaud n'avait accédé à « rien qui n'était pas accessible au public ni à un endroit où il n'aurait pas dû être », selon une interview de la Missouri Highway Patrol avec la porte-parole du DESE, Mallory McGowin.

Le rapport a été publié plus d'une semaine après que le procureur du comté de Cole, Locke Thompson, a annoncé qu'il n'inculperait pas Renaud dans le cadre de l'enquête.

En octobre, un journaliste de Post-Dispatch a alerté l'État d'un problème de données contenu sur un site Web du ministère de l'Enseignement primaire et secondaire qui a laissé les numéros de sécurité sociale des éducateurs exposés à une consultation publique.

Après avoir alerté l'État, le journal n'a publié son rapport qu'après que les autorités eurent décidé de protéger les informations vulnérables. Le journal n'a divulgué aucune information personnelle. Une application Web qui permettait au public de rechercher les certifications et les références des enseignants contenait la vulnérabilité, a rapporté le journal.

Alors qu'aucune information privée n'était clairement visible, les numéros de sécurité sociale des enseignants, administrateurs et conseillers scolaires étaient présents et accessibles dans le code source HTML des pages accessibles au public concerné.

Les dossiers obtenus par le Post-Dispatch ont montré que la commissaire à l'éducation, Margie Vandeven, avait initialement prévu de remercier le journaliste qui a découvert la vulnérabilité.

Ils ont également montré qu'un spécialiste de la cybersécurité de l'État a informé Sandra Karsten, directrice du Département de la sécurité publique, qu'un agent du FBI a déclaré que l'incident « n'est pas une véritable intrusion dans le réseau ». Au lieu de cela, a écrit le spécialiste, l'agent du FBI a déclaré que la base de données de l'État était « mal configurée », ce qui « permettait l'utilisation d'outils open source pour interroger des données qui ne devraient pas être publiques ».

« Ces documents montrent qu'il n'y a eu aucune intrusion dans le réseau », a déclaré ce mois-ci le président et éditeur de St. Louis Post-Dispatch, Ian Caso. « Comme DESE l'a initialement reconnu, le journaliste aurait dû être remercié pour la manière responsable dont il a traité l'affaire et non pas réprimandé ou enquêté en tant que pirate informatique. »

Pourtant, peu de temps après, le gouverneur du Missouri, Mike Parson, « qui s'en est souvent pris aux médias à propos de reportages qu'il n'aime pas » a estimé que le procureur du comté de Cole lancerait la procédure pour l'ouverture d'une enquête criminelle sur le journaliste et le Post-Dispatch.

« Je ne pense pas que ce sera le cas », a déclaré Parson lorsqu'il lui a été demandé ce qu'il ferait si le procureur ne poursuivait pas l'affaire.

Parson a fait référence à une loi de l'État sur la falsification informatique, qui dit qu'une personne commet une infraction si elle modifie ou détruit des données, divulgue ou prend des données, ou accède à un réseau informatique et examine intentionnellement les informations personnelles « sciemment et sans autorisation ou sans motifs raisonnables de croire qu'elle a une telle autorisation ».

« Si quelqu'un crochète la serrure de la porte protégeant votre maison - pour une raison quelconque, ce n'est pas une bonne serrure, c'est une serrure bon marché ou tout autre problème que vous pourriez avoir - il n'a pas le droit d'entrer dans votre maison et de prendre tout ce qui vous appartient » a déclaré Parson dans un communiqué.

« L'État a fait sa part en enquêtant et en présentant ses conclusions au procureur du comté de Cole, qui a choisi de ne pas porter plainte, comme c'est sa prérogative », a déclaré la porte-parole Kelli Jones plus tôt ce mois-ci.

Suite à cette décision du procureur, l'éditeur de Post-Dispatch, Ian Caso, a déclaré dans un communiqué : « Nous sommes ravis que le procureur ait reconnu qu'il n'y avait aucune base légitime pour des accusations contre le St. Louis Post-Dispatch ou notre journaliste. Bien qu'une enquête sur la manière dont l'État a autorisé l'accès à ces informations était appropriée, les accusations contre notre journaliste étaient infondées et faites pour détourner l'embarras des échecs de l'État et à des fins politiques ».

Le rapport de police qui vient contrer les affirmations du gouverneur

Le gouverneur républicain a affirmé que Josh Renaud, le journaliste au centre de l'affaire, « agissait contre une agence d'État pour compromettre les informations personnelles des enseignants dans le but d'embarrasser l'État et de vendre les gros titres de leur média » et a déclaré que son administration « ne laissera pas ce crime contre les enseignants du Missouri impuni ».

Mais le rapport de police qui en résulte, qui a été publié lundi soit plus d'une semaine après la décision du procureur de ne pas inculper le journaliste, confirme en détail que Renaud a fait exactement ce qu'il a dit depuis le début : il a identifié une faille de sécurité en consultant le code HTML accessible au public sur un site Web d'État mal configuré et a retardé la publication d'un article sur ses conclusions jusqu'à ce que l'État ferme la faille de sécurité.

Mallory McGowin, responsable des communications du DESE, a déclaré à la police que le problème identifié par Renaud « était une erreur ou un oubli lorsque l'ITSD [Division des services de technologie de l'information] a développé l'application » et « a déclaré que la vulnérabilité était là depuis 2011, lorsque l'application a été mise en œuvre ».

McGowin a confirmé que Renaud n'avait accédé qu'aux données accessibles au public. « Elle a déclaré d'après ce qu'elle a observé que M. Renaud n'avait accès à rien qui n'était pas accessible au public, et qu'il ne se trouvait pas non plus à un endroit où il n'aurait pas dû être. Elle a déclaré que Josh Renaud semble n'avoir accédé qu'à des données publiques ouvertes », indique le rapport de police.

Thompson a déclaré au Missouri Independent que l'enquête n'avait trouvé « aucune intention criminelle », bien qu'il ait dit que cela « peut techniquement avoir été un crime » parce qu'une loi d'État sur la falsification des données informatiques « semble être si vague qu'elle décrit essentiellement quelqu'un qui utilise un ordinateur pour rechercher les informations de quelqu'un ». La loi interdit d'accéder à un système informatique pour examiner intentionnellement des informations sur une autre personne, mais précise qu'il ne s'agit d'un crime que « s'il [le fait] sciemment et sans autorisation ou sans motif raisonnable de croire qu'il dispose d'une telle autorisation ».

Alors que le Post-Dispatch a rapporté en octobre que la faille avait révélé 100 000 numéros de sécurité sociale, c'était apparemment beaucoup plus. « J'ai demandé à Mme McGowin combien d'enseignants figuraient dans la base de données, et elle a déclaré que les données remontaient à 2005, et que le nombre total serait d'environ 576 000 », a écrit le caporal Kyle Seabaugh dans le rapport de police. Renaud a déclaré à la police que l'estimation initiale de 100 000 était basée sur l'année en cours, « et il a dit avoir observé des informations indiquant que d'autres années d'informations et éventuellement des numéros de sécurité sociale des retraités figuraient dans la base de données ».

McGowin « a également déclaré que la base de données - comme d'autres services informatiques de l'État - est en fait supervisée par le bureau de l'administration de Parson, que le gouverneur contrôle ».

Le manque de chiffrement « n'avait jamais été remarqué »

Dans le code source HTML du site Web DESE, les numéros de sécurité sociale étaient encodés au format Base64, selon le rapport de police. La responsable du service client de l'ITSD, Pam Keep, « a déclaré que les données qui étaient encodées auraient dû être chiffrées », indique le rapport de police. « Mme Keep m'a dit [que le développeur de l'ITSD, David Durnow] était en train de retravailler l'application Web pour chiffrer les données avant de remettre l'application Web en ligne pour le public. Mme Keep m'a dit que l'application DESE avait environ 10 ans et que le fait que les données étaient seulement codées et non chiffrées n'avait jamais été remarqué auparavant ».

Bien que la faille n'ait pas été remarquée auparavant, McGowin a déclaré à la police que le processus de visualisation des numéros de sécurité sociale exposés « n'était pas difficile ». Elle a décrit comment Renaud a informé le département que « lorsque quelqu'un accédait à la page Web des certifications des enseignants, une personne pouvait appuyer sur "Contrôle U" ou faire un clic droit et sélectionner" Afficher la source de la page", sélectionner les données d'état d'affichage, copier et coller cela dans un décodeur, et il décoderait. Une fois les données d'état d'affichage décodées, il a été révélé qu'il y avait une ligne où "Educator SSN" était observé avec un nombre à neuf chiffres. Elle a déclaré [que] pour une raison quelconque, l'ITSD avait toujours le numéro de sécurité sociale complet à neuf chiffres dans le tableau qu'ils utilisaient ». Le décodeur utilisé par Renaud « est le premier sur la liste si vous recherchez le décodeur sur Google », a déclaré McGowin à la police.

Renaud a contacté le DESE le matin du 12 octobre et a déclaré que le Post-Dispatch avait l'intention de publier un article dans les 24 à 48 heures, « mais voulait leur faire savoir afin qu'ils puissent remédier à la situation avant la publication de l'article », a déclaré McGowin à la police. Lors d'un appel téléphonique cet après-midi-là, Renaud a dit à McGowin « qu'ils retarderaient la publication de cette actualité jusqu'à ce que la vulnérabilité soit atténuée ».

Dans la soirée du 12 octobre, McGowin a appelé Renaud et « l'a informé que les vérifications de vulnérabilité étaient toujours en cours et leur a demandé de retarder la publication de l'article jusqu'à la fermeture des bureaux le 13 octobre 2021 ». Le Post-Dispatch a accepté et a publié l'histoire le 14 octobre, après la fermeture du site Web de l'État pour maintenance. Le 13 octobre, l'État a publié un communiqué de presse affirmant « que un hacker a pris les dossiers d'au moins trois éducateurs » - "hacker" faisant référence à Renaud.

Renaud a été choqué lorsqu'il est tombé sur une faille de sécurité

En tant que développeur de la salle de presse de Post-Dispatch, l'une des responsabilités de Renaud est d'aider les journalistes à collecter et analyser des données. Renaud a déclaré à la police qu'il avait examiné le site Web du DESE parce qu'un journaliste « avait demandé son aide pour recueillir des données sur les certifications des enseignants ». Renaud a entrepris de construire un ensemble de données qui pourrait être utilisé pour trouver « des tendances ou des modèles qui pourraient conduire à une histoire ». Le rapport de police disait :

Tandis qu'il faisait cela, il a déclaré qu'il avait besoin de regarder le code source pour voir la meilleure façon de collecter ces informations, et ce faisant, il a trouvé ce qu'il pensait être un numéro de sécurité sociale pour un éducateur. Il a déclaré qu'il avait localisé un paramètre intitulé "Educator SSN" et un numéro à neuf chiffres en dessous, qui, à première vue, semblait être un numéro de sécurité sociale. Il a déclaré qu'il était choqué parce qu'il ne le cherchait pas et ne s'attendait pas à trouver cette information. Je lui ai demandé combien de temps il lui avait fallu pour trouver cette information, et il a déclaré qu'il n'était pas sûr, mais qu'il avait estimé à environ deux (2) heures.

Renaud a vérifié que les numéros de sécurité sociale étaient réels en contactant trois enseignants dont les numéros figuraient dans la base de données. Renaud a déclaré à la police qu'il n'avait divulgué les numéros de sécurité sociale à personne d'autre et qu'il ne les avait pas conservés par la suite.

« J'ai demandé à M. Renaud pourquoi il pensait que cela s'était produit », a écrit Seabaugh. « Il a déclaré qu'il pensait que c'était parce qu'ils utilisaient le numéro comme identification dans le backend de leur base de données. Je lui ai demandé si cela serait normal d'après ce qu'il a vu. Il a déclaré d'après ce qu'il a vu que les informations privées devraient être conservées dans un tableau séparé qui ne communique pas avec le Web ».

Renaud a consulté Khan au sujet de la vulnérabilité, puis a contacté l'État. « Il a déclaré qu'il aurait préféré envoyer le processus par lequel il est passé à un véritable technicien, mais qu'il a été chargé de l'envoyer à Mme McGowin via l'e-mail d'enquête des médias du DESE », indique le rapport de police.

« La folle réaction du gouverneur »

Les responsables du gouvernement de l'État du Missouri avaient initialement prévu de remercier publiquement Renaud dans un communiqué de presse, selon des courriels internes publiés par le Post-Dispatch en décembre. Renaud a déclaré à la police que McGowin l'avait remercié d'avoir signalé la vulnérabilité lors d'un de leurs appels téléphoniques.

Mais le projet de remercier publiquement Renaud a été abandonné lorsque le gouverneur a décidé d'exiger une enquête criminelle sur le journaliste. Après révisions, le DESE a publié son communiqué de presse décrivant Renaud comme un hacker qui « a pris les dossiers d'au moins trois éducateurs, décodé le code source HTML et consulté le numéro de sécurité sociale (SSN) de ces éducateurs spécifiques ».

Khan a décrit l'affirmation de Parson selon laquelle Renaud est un hacker criminel comme « la réaction folle du gouverneur », selon le rapport de police. Le rapport continuait en ces termes :

Il a déclaré qu'en lisant le communiqué de presse de DESE, il avait vu où ils faisaient référence à un "hacker" qui avait pris trois enregistrements et avaient présenté les choses d'une manière dans laquelle un enseignant normal serait content qu'il n'y en ait que trois et que le leur n'ait pas été affecté. Il a indiqué que c'était une chose dangereuse à faire et l'a décrite comme "au mieux irresponsable, et au pire illégale"... Il a déclaré que la façon dont l'information était diffusée était "au mieux ridicule".

Khan a déclaré à la police que les organisations responsables d'atteintes à la sécurité « sont liées par la loi et tenues de dire aux personnes concernées ce qui s'est passé et de leur donner une indication de la quantité de données en danger ». L'affirmation du DESE selon laquelle trois personnes ont été touchées « était en fait fausse, car il n'y avait aucun moyen de déterminer quels numéros de sécurité sociale pouvaient être consultés de cette façon », a-t-il déclaré à la police.

« L'encodage ne fait rien pour cacher les données sensibles »

Khan a expliqué à la police que lorsque quelqu'un cherchait sur le site Web public du DESE, les « données des enseignants étaient envoyées du serveur au navigateur et restaient " littéralement là" ». Il a déclaré que dans ces données étaient intégrés des numéros de sécurité sociale.

Khan a également expliqué que l'encodage Base64 « traduit le format des données d'un formulaire à un autre » afin de « répondre aux exigences de formatage » lorsque les données sont envoyées via HTTP. Khan « a indiqué que l'encodage ne fait rien pour cacher les données sensibles, et ce n'est pas son but ». Accéder à ces données serait une tâche facile pour quiconque a développé des applications Web, a déclaré Khan à la police.

McGowin a déclaré à la police que « d'après ce qu'elle avait entendu ces derniers jours, lorsque le site Web a été mis en ligne en 2011, cette pratique aurait été acceptable », mais « n'est plus considérée comme une "meilleure pratique"», indique le rapport de police. Cependant, Khan a déclaré à la police que la faille identifiée par Renaud « était connue depuis si longtemps que c'était "ahurissant" qu'elle existait toujours dans l'application de l'État ». Le rapport de police a raconté l'explication de Khan selon laquelle la faille était connue dans l'industrie en 2010 :

Le Dr Khan a ensuite commencé à expliquer les informations connues dans le Microsoft Documentation Security Briefing de 2010, où ce problème spécifique a été abordé, et il a été conseillé aux utilisateurs de ne jamais mettre d'informations sensibles en état de vue, car vous enverriez ces informations à chaque personne qui visite votre site. Il a également indiqué qu'ils avaient dit que si vous n'aviez pas d'autre choix que d'y mettre les informations, les données devaient être chiffrées.

L'enquête n'aurait jamais dû avoir lieu, selon l'avocat de Khan

Dans sa déclaration publiée lundi, Gross, l'avocat de Khan, a déclaré que le gouvernement de l'État « n'a pas suivi les procédures de sécurité de base pendant des années, n'a pas protégé les numéros de sécurité sociale des enseignants et n'a pas assumé ses responsabilités, choisissant plutôt d'ouvrir une enquête sans fondement sur deux Missouriens qui ont fait ce qu'il fallait et ont signalé le problème. Le professeur Khan a perdu des milliers de dollars et sa famille a été terrorisée pendant quatre mois en raison de l'utilisation par le gouverneur d'agents chargés de l'application des lois de l'État à des fins politiques ».

La déclaration a appelé la législature de l'État « à protéger les Missouriens qui signalent de manière responsable ces types de failles de sécurité » et ainsi « empêcher un futur gouverneur de commettre des violations aussi flagrantes et méprisables des libertés civiles individuelles ».

« Nous remercions la Missouri State Highway Patrol et le bureau du procureur du comté de Cole pour leur travail diligent sur une affaire qui n'aurait jamais dû leur être envoyée », indique le communiqué.

Après que le procureur a clos l'enquête sans inculpation au début du mois, le bureau de Parson a continué d'insister sur le fait que Renaud avait commis un crime même si le procureur « a choisi de ne pas porter plainte ». Renaud a publié une déclaration disant que la clôture de l'affaire « est un soulagement » mais que les « menaces très médiatisées de représailles légales de Parson contre moi et le Post-Dispatch auront probablement un effet dissuasif, dissuadant les gens de signaler des failles de sécurité ou de confidentialité dans le Missouri et diminuant les chances que ces défauts soient corrigés ».

Source : rapport du Missouri State Highway Patrol (au format PDF), Josh Renaud, déclaration de l'État du Missouri