Discussion :

[Stéphane le calme]

Un journaliste qui a consulté la source HTML d'un site Web géré par un ministère est susceptible d'être poursuivi,
pour falsification informatique

Un journaliste de St. Louis Post-Dispatch qui a consulté la source HTML d'un site Web du département de l'enseignement primaire et secondaire du Missouri est désormais susceptible d'être poursuivi pour falsification informatique, a déclaré le gouverneur du Missouri, Mike Parson. Tous les navigateurs Web ont un élément de menu « afficher la source » qui vous permet de voir le code HTML de la page Web qu'il affiche. Le journaliste a découvert que le code source du site Web contenait les numéros de sécurité sociale des éducateurs. Le journaliste a alerté l'État sur les numéros de sécurité sociale. Une fois que l'État a supprimé les numéros de la page Web, le Post-Dispatch a signalé la vulnérabilité.

En octobre, un journaliste de Post-Dispatch a alerté l'État d'un problème de données contenu sur un site Web du ministère de l'Enseignement primaire et secondaire qui a laissé les numéros de sécurité sociale des éducateurs exposés à une consultation publique.

Après avoir alerté l'État, le journal n'a publié son rapport qu'après que les autorités eurent décidé de protéger les informations vulnérables. Le journal n'a divulgué aucune information personnelle. Une application Web qui permettait au public de rechercher les certifications et les références des enseignants contenait la vulnérabilité, a rapporté le journal.

Alors qu'aucune information privée n'était clairement visible, les numéros de sécurité sociale des enseignants, administrateurs et conseillers scolaires étaient présents et accessibles dans le code source HTML des pages accessibles au public concerné.

Les dossiers obtenus par le Post-Dispatch ont montré que la commissaire à l'éducation, Margie Vandeven, avait initialement prévu de remercier le journaliste qui a découvert la vulnérabilité.

Ils ont également montré qu'un spécialiste de la cybersécurité de l'État a informé Sandra Karsten, directrice du Département de la sécurité publique, qu'un agent du FBI a déclaré que l'incident « n'est pas une véritable intrusion dans le réseau ». Au lieu de cela, a écrit le spécialiste, l'agent du FBI a déclaré que la base de données de l'État était « mal configurée », ce qui « permettait l'utilisation d'outils open source pour interroger des données qui ne devraient pas être publiques ».

« Ces documents montrent qu'il n'y a eu aucune intrusion dans le réseau », a déclaré ce mois-ci le président et éditeur de St. Louis Post-Dispatch, Ian Caso. « Comme DESE l'a initialement reconnu, le journaliste aurait dû être remercié pour la manière responsable dont il a traité l'affaire et non pas réprimandé ou enquêté en tant que pirate informatique. »

Le gouverneur du Missouri, Mike Parson, le 29 décembre 2021, parle d'accusations possibles contre le Post-Dispatch du procureur du comté de Cole après qu'un article d'octobre ait alerté les responsables d'une vulnérabilité des données sur un site Web de l'État

Le gouverneur du Missouri prend le relai

Pourtant, peu de temps après, le gouverneur du Missouri, Mike Parson, « qui s'en est souvent pris aux médias à propos de reportages qu'il n'aime pas » a estimé que le procureur du comté de Cole lancerait la procédure pour l'ouverture d'une enquête criminelle sur le journaliste et le Post-Dispatch.

« Je ne pense pas que ce sera le cas », a déclaré Parson lorsqu'il lui a été demandé ce qu'il ferait si le procureur ne poursuivait pas l'affaire.

Parson a fait référence à une loi de l'État sur la falsification informatique, qui dit qu'une personne commet une infraction si elle modifie ou détruit des données, divulgue ou prend des données, ou accède à un réseau informatique et examine intentionnellement les informations personnelles « sciemment et sans autorisation ou sans motifs raisonnables de croire qu'elle a une telle autorisation ».

« Si quelqu'un crochète la serrure de la porte protégeant votre maison - pour une raison quelconque, ce n'est pas une bonne serrure, c'est une serrure bon marché ou tout autre problème que vous pourriez avoir - il n'a pas le droit d'entrer dans votre maison et de prendre tout ce qui vous appartient » a déclaré Parson dans un communiqué.

Un commentateur sur l'histoire Post-Dispatch propose une analogie plus appropriée :

« Une meilleure analogie serait que vous marchiez dans la rue devant la maison d'un voisin et que vous remarquiez sa porte d'entrée grande ouverte sans personne autour. Vous pouvez voir un sac à main et des clés de voiture près de la porte. Vous téléphonez à ce voisin et lui dites que sa porte est ouverte et que son sac à main et ses clés sont facilement visibles depuis la rue. Parson considèrerait-il cette situation comme étant une introduction par effraction ? »

Le capitaine John Hotz, porte-parole de la Missouri State Highway Patrol, a déclaré lundi que l'agence avait terminé son enquête sur le Post-Dispatch et avait renvoyé l'affaire au procureur du comté de Cole, Locke Thompson. Aucune copie du rapport n'a été partagée.

Source : St. Louis Post-Dispatch

Et vous ?

Qu'en pensez-vous ?
Partagez-vous le point de vue du journal, qui estime avoir simplement rapporté une vulnérabilité, ou le point de vue du gouverneur, qui estime qu'il y a eu intrusion ?

[archqt]

Le procureur est soit débile soit ignorant complètement.

[marsupial]

Mike Parson, le politicien, surtout est un arriéré. Plus que le procureur ignorant sur lequel il fait pression.

[Leruas]

Un Trumpiste dans toute sa splendeur

[darklinux]

Ils sont cons ou quoi ? Consultation n ' est pas écriture et nous ne sommes que le premier janvier .

[Invité]

Bonjour,

Un journaliste qui a consulté la source HTML d'un site Web géré par un ministère est susceptible d'être poursuivi, pour falsification informatique

Qu'en pensez-vous ?

On marche sur la tête ! Le lanceur d'alerte devient donc coupable ???!!! La personne a encore le décence de prévenir d'une anomalie et on l'accuse . Peut être aurait il mieux fallu ne rien dire ?

Partagez-vous le point de vue du journal, qui estime avoir simplement rapporté une vulnérabilité, ou le point de vue du gouverneur, qui estime qu'il y a eu intrusion ?

Dans le cas présent c'est le journal qui a raison. Le gouverneur est tout simplement déconnecté de la réalité !

Pourquoi ne pas attaquer en justice quelqu'un qui trouve votre numéro dans l'annuaire aussi ?

[air-dex]

On marche sur la tête ! Le lanceur d'alerte devient donc coupable ???!!! La personne a encore le décence de prévenir d'une anomalie et on l'accuse . Peut être aurait il mieux fallu ne rien dire ?

Question de point de vue. Celui qui met en évidence les failles des autres est lanceur d'alerte. C'est bien et il faut le protéger. Par contre celui qui met en évidence les tiennes est un traître et il faut le condamner. Les joies des sociétés claniques comme les nôtres en somme.

[phedra60]

J'aimerai bien savoir ce que dira ce gouverneur, qui parle de ce qu'il ne connait pas, quand les experts auront tranché la question !

[encoremoi21258]

Je pense que le véritable problème est l'âge de cet homme qui ignore forcément ce qu'est le HTML, et pire encore, comment voir le code HTML d'un site.

[23JFK]

Elle est entrée nulle part, les codes étaient placardés au recto d'une fenêtre donnant sur la voie publique sans rideaux ni volets.

[TotoParis]

Qu'en pensez-vous ?
La connerie de certains politiciens américains est d'une niveau assez hallucinant. Pire qu'en France, et c'est pas peu dire.

Partagez-vous le point de vue du journal, qui estime avoir simplement rapporté une vulnérabilité, ou le point de vue du gouverneur, qui estime qu'il y a eu intrusion ?
Le journal a été honnête en rapportant cette divulgation d'information personnelle très sensible. Le gouverneur est sénile ou malveillant, ou les deux.

[defZero]

Qu'en pensez-vous ?

Le mec ne comprend absolument rien à ce qu'y lui est expliqué.
Si un site public du gouvernement décide de cracher les numéros de sécu de ses administrés, en quoi la consultation serait répréhensible puisque non sollicité ?

Partagez-vous le point de vue du journal, qui estime avoir simplement rapporté une vulnérabilité, ou le point de vue du gouverneur, qui estime qu'il y a eu intrusion ?

Le journal à cent fois raison, mais les gars en face ne comprennent rien à ce qu'ils leurs a été expliqués.
Le journal aurait mieux fait de directement porté plainte, ainsi que les administrés dont les numéros ont fuité, envers les responsables, gouverneur comprit.

[cryptonyx]

Quelques éléments de discussion en anglais : https://www.schneier.com/blog/archiv...isclosure.html

Ce genre de débat va devenir fréquent avec des populistes aux affaires. Ces personnes n'ont tout simplement pas le niveau pour diriger quoi que ce soit, à part des simples d'esprit comme les électeurs du Missouri ou de bleds de ce genre (c'est méprisant et condescendant, mais ça recouvre une réalité et ça vaut pour d'autres pays).

Prenez garde que ça n'arrive pas en France car il y a pleins de neuneus qui font maintenant de la politique ou qui donnent leur avis éclairé sur les réseaux sociaux (ou de cas sociaux comme dit Laurent Gerra).

La vrai question est de savoir pourquoi on a confié la politique et les opinions à des neuneus, de droite ou de gauche ?

[cobalt3d]

L'argument de la défense est tout simple : le code consulté ne l'a pas été sur les serveurs de l'administration mais sur le poste du journaliste et c'est l'administration elle-même qui lui a envoyé ce texte. La bonne image n'est pas celle de la porte ouverte chez le voisin mais celle du contenu d'un sac de poubelle déversé directement dans votre jardin à partir de la rue.

Ceci dit, l'ignorance technique de gens aux postes de responsabilités est effrayante, malheureusement. De plus, elles n'acceptent même pas d'en prendre conscience. Des gens sensés lanceraient un audit sur toutes les autres pages produites par la personne qui a réalisé celle qui est fautive pour être sûr qu'il n'y a pas d'autres failles de sécurité.

[berceker united]

C'est comme celui qui avait trouvé une faille dans le système des cartes bleues, le signal à la banque et se retrouve en justice. Mais là c'est un niveau au dessus.

[Chuck 3.50]

conclusion ne jamais lancer d'alerte et garder l'info pour soit

[olzo96]

Un gouverneur vieux qui n'a aucune notion de l'informatique. Du moins de comment fonctionne le web. Il fait allusion à des analogies bidons qui ne tiennent pas la route. "USA,La capitale de la démocratie". J'imagine si ce cas avait lieu en Chine, ou en Russie.

[marsupial]

conclusion ne jamais lancer d'alerte et garder l'info pour soit

Mieux : revendre les données avant que quelqu'un d'autre ne le fasse. Ou revendre l'accès.

[phedra60]

Mieux : revendre les données avant que quelqu'un d'autre ne le fasse. Ou revendre l'accès.

Tu revends ça à un gouverneur du camp adverse xD

[Escapetiger]

C'est comme celui qui avait trouvé une faille dans le système des cartes bleues, le signal à la banque et se retrouve en justice. Mais là c'est un niveau au dessus.

« En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. En pratiquant de la rétro-ingénierie sur un terminal de paiement qu'il rachète à un commerçant, il analyse chaque étape de la procédure de paiement par carte à puce et casse la clé privée gérant l'authentification des cartes par le lecteur. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

Dès l'été 1998, il mandate un avocat spécialiste de droit industriel et deux experts en propriété industrielle pour tenter – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires en les avertissant de la vulnérabilité découverte. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant onze carnets de tickets de métro, assortis de dix facturettes, au moyen de dix cartes de sa fabrication à partir de distributeurs automatiques disposés dans les stations Balard et Charles Michels. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire, en guise d'appel « devant tous ». Pendant ce temps, le parquet a fait appel et la confirmation du jugement du TGI est établi par la cour d’appel de Paris, le 6 décembre 2000.

Licencié de l'entreprise GFI pour faute grave suite à la médiatisation de son affaire, il fonde une entreprise aux États-Unis et quelques années plus tard, revient en France où il travaille pour la société Bearstech. »

Source Wikipedia : Serge Humpich

[Edit]
Et décidemment, la culture américaine au sens états-unien est en perdition :

« Francis William Abagnale, Jr., né le 27 avril 1948 à Bronxville, est un ancien imposteur franco-américain reconverti consultant en sécurité.

Dans les années 1960, dès l’âge de 16 ans, il utilise des chèques falsifiés avec l'aide de Sarah L'intermy, afin de voyager aux frais de la Pan American World Airways. Il voyage ainsi à travers 26 pays avant d'avoir atteint ses 19 ans. En seulement cinq années, il travaille sous huit identités différentes — bien qu'il ait également utilisé d'autres méthodes pour collecter les chèques — et utilise de faux chèques pour une valeur totale de 2,5 millions de dollars dans 26 pays.

Il travaille ensuite comme consultant en matière de lutte contre la fraude au sein de sa compagnie, la Abagnale and Associates.

Son histoire inspire le film Arrête-moi si tu peux, ainsi qu'une comédie musicale du même nom . Ces œuvres ne constituent pas à proprement parler une biographie relatant des faits authentiques mais seraient plutôt une narration fantaisiste de ses principales fraudes de jeunesse. »

Source Wikipedia : Frank Abagnale, Jr.