Les responsables du gouvernement de l’État du Missouri prévoyaient de remercier publiquement un journaliste qui avait découvert une faille de sécurité jusqu’à ce qu’un changement radical de stratégie aboutisse à ce que le gouverneur qualifie le journaliste de « pirate informatique », tout en menaçant à la fois de poursuites et de poursuites.

Comme nous l’avons écrit le 14 octobre, le journaliste de St. Louis Post-Dispatch, Josh Renaud, a identifié une faille de sécurité qui exposait les numéros de sécurité sociale des enseignants et d’autres employés de l’école sous une forme non cryptée dans le code source HTML d’un site Web accessible au public. Renaud et le Post-Dispatch ont traité le problème comme le font les chercheurs en sécurité responsables, en notifiant l’état de la faille de sécurité et en la gardant secrète jusqu’à ce qu’elle soit corrigée.

Malgré cela, le gouverneur du Missouri, Mike Parson, a qualifié Renaud de « hacker » et a déclaré que les reportages du journal n’étaient rien de plus qu’une « vendetta politique » et « une tentative d’embarrasser l’État et de vendre des titres pour leur média ». Le gouverneur républicain a en outre déclaré que son « administration avait informé le procureur du comté de Cole de cette affaire », que l’unité médico-légale numérique de la Missouri State Highway Patrol enquêterait sur « toutes les personnes impliquées », et que la loi de l’État « nous permet d’intenter une action civile. de recouvrer des dommages-intérêts contre toutes les personnes impliquées.

« Nous remercions le membre des médias »

Mais seulement deux jours plus tôt, un porte-parole du gouvernement préparait une citation pour remercier publiquement le journaliste, comme l’a rapporté le Post-Dispatch aujourd’hui :

Dans un e-mail du 12 octobre adressé aux responsables du bureau du gouverneur Mike Parson, Mallory McGowin, porte-parole du DESE [Department of Elementary and Secondary Education], a envoyé des propositions de déclarations pour un communiqué de presse annonçant la vulnérabilité des données découverte par le journal.

« Nous sommes reconnaissants au membre des médias qui a porté cela à l’attention de l’État », a déclaré une proposition de citation de la commissaire à l’éducation Margie Vandeven.

L’administration Parson et le DESE n’ont finalement pas utilisé cette citation. Le lendemain, le 13 octobre, le Bureau de l’administration a publié un communiqué de presse qualifiant le journaliste de Post-Dispatch de « hacker ». Et le 14 octobre, Parson a tenu une conférence de presse pour dénoncer le Post-Dispatch et annoncer une enquête criminelle par la Missouri State Highway Patrol.

« Nous ne laisserons pas impuni ce crime contre les enseignants du Missouri », a déclaré Parson lors de la conférence de presse. « Et nous refusons de les laisser être un pion dans la vendetta politique du média. Non seulement nous allons tenir cet individu responsable, mais nous tiendrons également pour responsables tous ceux qui ont aidé cet individu et la société médiatique qui les emploie. « 

Le Post-Dispatch a obtenu le courrier électronique du 12 octobre dans une demande d’enregistrement public. Le plan pour remercier le journaliste a apparemment été abandonné à 13 h 18 le 13 octobre, lorsque « McGowin a envoyé un e-mail à Kelli Jones et Johnathan Shiflett, qui travaillent tous les deux au bureau du gouverneur, pour leur dire que Vandeven voulait qu’elle rencontre les responsables du bureau du gouverneur », le Post-Dispatch écrit. Un projet de communiqué de presse envoyé par e-mail par McGowin à 15 h 46, apparemment après cette réunion, qualifiait le journaliste d’« individu ». Une autre révision envoyée par e-mail par Shiflett à 16h20 l’a qualifié de « hacker ».