Le procureur du Missouri a décidé de ne pas porter plainte contre un journaliste accusé de piratage illégal pour avoir divulgué des failles de sécurité sur un site Web géré par le gouvernement de l’État.
Le journaliste du St. Louis Post-Dispatch, Josh Renaud, a exprimé son «soulagement» à la nouvelle, mais a déclaré que les allégations portées contre lui par le gouverneur du Missouri, Mike Parson, en octobre 2021 pourraient avoir un «effet dissuasif» sur le signalement de bonne foi des failles de sécurité.
Les accusations étaient centrées sur la découverte par Renaud d’un problème dans un domaine géré par le Département de l’enseignement primaire et secondaire du Missouri (DESE) qui a potentiellement exposé plus de 100 000 numéros de sécurité sociale (SSN) appartenant à des enseignants et à d’autres membres du personnel scolaire.
Dans un article publié le 13 octobre, le St. Louis Post-Dispatch a révélé qu’il avait informé le DESE de la vulnérabilité et retardé la publication des résultats pour donner à l’agence le temps de sécuriser les données exposées.
Un certain nombre d’experts en cybersécurité ont déclaré à l’époque que cette approche de la divulgation des vulnérabilités concordait avec la façon dont les chercheurs professionnels en sécurité alertaient régulièrement les entreprises des failles de sécurité.
Certains ont noté que les actions de Renaud ne constituaient même pas du « piratage », puisqu’il avait simplement consulté le code source HTML du site, qui divulguait les données sensibles, ce qui était facile à faire en utilisant la fonctionnalité intégrée des navigateurs Web.
Néanmoins, le gouverneur Parson a qualifié Renaud de « hacker », revendiqué il avait violé les lois de l’État sur la criminalité informatique et avait renvoyé l’affaire à la Missouri State Highway Patrol, qui avait enquêté sur l’épisode et transmis ses conclusions au procureur du comté de Cole, Locke Thompson.
Cependant, quatre mois plus tard, le vendredi 11 février, Thompson Raconté station de télévision KRCG qu’il ne porterait pas plainte.
« Persécution politique »
« Cette décision est un soulagement. Mais cela ne répare pas le mal qui m’a été fait, à moi et à ma famille », a déclaré Renaud dans un déclaration (PDF).
« Mes actions étaient entièrement légales et conformes aux principes journalistiques établis. Pourtant, le gouverneur Mike Parson m’a faussement accusé d’être un «hacker» lors d’une conférence de presse télévisée, dans des communiqués de presse envoyés à tous les enseignants de l’État et dans des publicités d’attaque diffusées par son comité d’action politique. Il a ordonné à la patrouille routière d’ouvrir une enquête criminelle, m’obligeant à garder le silence pendant quatre mois anxieux.
Renaud a poursuivi : « Il s’agissait d’une persécution politique d’un journaliste, pure et simple. Malgré cela, je suis fier que mes reportages aient révélé un problème critique et qu’ils aient amené l’État à prendre des mesures pour mieux protéger les données privées des enseignants.
Cependant, le bureau du gouverneur Parson continue de soutenir que Renaud a violé la loi de l’État. Sa directrice de la communication, Kelli Jones, a déclaré La gorgée quotidienne: « Le piratage des informations personnellement identifiables des enseignants du Missouri est une violation flagrante de l’article 569.095, RSMo, que l’État prend au sérieux. L’État a fait sa part en enquêtant et en présentant ses conclusions au procureur du comté de Cole, qui a choisi de ne pas porter plainte, comme c’est sa prérogative.
Jones a ajouté : « Le procureur pense que l’affaire a été correctement traitée et résolue par des moyens non juridiques. L’État continuera à travailler pour s’assurer que des garanties sont en place pour protéger les données de l’État et empêcher les piratages non autorisés.
Effet froid
Renaud a également averti que l’affaire pourrait avoir un impact négatif sur le signalement d’autres bogues de sécurité.
« Je crains que les actions du gouverneur n’aient laissé l’État plus vulnérable aux futurs mauvais acteurs », a-t-il déclaré. « Le sien [Parson’s] menaces très médiatisées de représailles légales contre moi et le Post-expédition aura probablement un effet dissuasif, dissuadant les gens de signaler des failles de sécurité ou de confidentialité dans le Missouri, et diminuant les chances que ces failles soient corrigées.