[ad_1]
Le professeur de cybersécurité qui a aidé à découvrir l’échec du gouvernement du Missouri à protéger les numéros de sécurité sociale des enseignants a exigé que l’État cesse son enquête sur lui et cesse de porter des « accusations sans fondement » selon lesquelles il a commis un crime.
Comme nous l’avons signalé le 14 octobre, le gouverneur du Missouri Mike Parson a menacé de poursuivre et de demander des dommages-intérêts civils à un journaliste de St. Louis Post-Dispatch qui a identifié une faille de sécurité qui a révélé les numéros de sécurité sociale des enseignants et autres employés de l’école. L’État enquête également sur Shaji Khan, professeur de cybersécurité à l’Université du Missouri-St. Louis qui a aidé le journaliste de Post-Dispatch à vérifier la faille de sécurité.
Tout cela se produit malgré le fait que le gouvernement de l’État a rendu les numéros de sécurité sociale des enseignants disponibles sous une forme non cryptée dans le code source HTML d’un site Web accessible au public. La stratégie du gouverneur consistant à blâmer ceux qui ont découvert la faille lui a valu de nombreuses moqueries sur les réseaux sociaux de la part de personnes familiarisées avec la fonction standard « afficher la source » présente dans les principaux navigateurs Web.
Khan a engagé un avocat pour se défendre contre les accusations de l’État. Jeudi la semaine dernière, l’avocat de Khan a envoyé une lettre de mise en demeure et de mise en demeure à Parson et à plusieurs agences de l’État. La lettre indique que Parson et d’autres représentants de l’État ont diffamé Khan et violé son premier amendement « le droit de parler librement sans la menace de représailles du gouvernement ». La lettre ajoute que l’enquête de Show Me State sur Khan « violerait l’interdiction des poursuites malveillantes ».
« Le professeur Khan est susceptible de l’emporter sur le bien-fondé de toute affaire portée contre lui », indique la lettre. « Aucune loi au Missouri ou au niveau fédéral n’interdit aux membres du grand public de consulter des sites Web accessibles au public ou de consulter le code source non crypté du site Web. Aucune personne raisonnable ne penserait qu’elle n’est pas autorisée à consulter un site Web accessible au public, son code source non crypté ou aucune des traductions non cryptées de ce code source. Il n’y a aucune raison probable d’enquêter sur le professeur Khan, et l’instigation ou la poursuite de toute procédure contre lui serait donc interdite. »
SSN envoyés « à chaque visiteur du site Web »
La lettre note que le journaliste de Post-Dispatch, Josh Renaud, a demandé à Khan de vérifier la faille de sécurité d’un site Web du gouvernement du Missouri qui permettait au public de rechercher les certifications et les titres de compétences des enseignants. « Le professeur Khan a accepté de vérifier si la faille de sécurité existait uniquement si M. Renaud acceptait de ne publier aucun article tant que l’État du Missouri n’aurait pas eu la possibilité de protéger les informations sensibles des enseignants si une faille était effectivement présente. M. Renaud a accepté », dit la lettre.
La faille de sécurité était facile à confirmer, la lettre dit :
Le site Web public a permis aux visiteurs de rechercher les informations d’identification des enseignants du Missouri. Les utilisateurs peuvent rechercher des enseignants par devoirs scolaires ou par leur nom de famille et les quatre derniers chiffres de leur numéro de sécurité sociale. Cependant, en raison d’une faille de sécurité majeure présente dans sa conception, le site Web a été programmé pour envoyer le numéro de sécurité sociale complet des enseignants du Missouri à chaque visiteur du site Web, qu’il soit au courant ou non. Ces informations ont également été programmées pour être automatiquement stockées dans les navigateurs Web des visiteurs…
Les 11 et 12 octobre 2021, le professeur Khan a vérifié la faille de sécurité. Il l’a fait en :
- Visiter le site Web public, accessible à tous et ne nécessitant pas de connexion ;
- En regardant le code source accessible au public, ce qui peut être facilement fait par n’importe qui sur n’importe quelle page Web sous l’option de menu « Affichage » ;
- Identifier un morceau suspect du code source appelé « État de la vue » qui peut contenir des failles de sécurité comme celle trouvée ici ; et
- Traduire le code source en texte brut, ce qui peut également être fait par n’importe qui.
L’ensemble de ce processus peut être effectué par n’importe qui en quelques minutes seulement. Aucune des données n’a été cryptée, aucun mot de passe n’a été requis et aucune mesure n’a été prise par l’État du Missouri pour protéger les numéros de sécurité sociale de ses enseignants que l’État a automatiquement envoyés à chaque visiteur du site Web.
Le site Web est toujours « en panne pour maintenance ».
Khan : Les seuls crimes ont été commis par l’État
La lettre de Khan appelle à une enquête sur le gouvernement de l’État, affirmant que le gouvernement a violé une loi du Missouri qui interdit aux entités de l’État de divulguer publiquement les numéros de sécurité sociale. L’État a également violé une loi de l’État exigeant que les représentants du gouvernement fournissent des informations exactes aux victimes de violations de données, indique la lettre :
Ici, l’État du Missouri et ses fonctionnaires ont publié en ligne les numéros de sécurité sociale d’environ 100 000 enseignants. Au lieu d’informer les enseignants de la nature de leur échec, les responsables du Missouri ont choisi de minimiser la faille de sécurité créée par l’État et de blâmer publiquement les personnes qui ont signalé le problème de manière responsable aux autorités compétentes. Le gouvernement a la responsabilité de respecter la loi et de fournir des informations exactes aux enseignants qu’il a échoué. Il ne l’a pas fait et ne l’a toujours pas fait, et le gouvernement a donc violé la loi.
Le 13 octobre, le Missouri Office of Administration a publié un communiqué de presse affirmant qu’un « pirate informatique » avait accédé aux numéros de sécurité sociale des enseignants. Cette caractérisation est « fausse », a déclaré la lettre de Khan. « L’État du Missouri a automatiquement transmis les numéros de sécurité sociale des enseignants à chaque visiteur du site Web. Personne qui a découvert et signalé cette faille de sécurité n’a tenté d’accéder sans autorisation au site Web ou de le « pirater ».
[ad_2]