Remise en contexte actuel des cybermenaces, la lutte entre la transparence des chercheurs en sécurité et la protection des institutions est plus vive que jamais. Ce conflit prend une tournure inattendue à Columbus, où un expert en cybersécurité se retrouve au cœur d’une polémique après avoir révélé des données sensibles.
En bref : Les chercheurs en sécurité jouent un rôle essentiel dans la protection d’Internet contre les cybermenaces. Ils localisent et révèlent les vulnérabilités des systèmes tests afin de protéger les utilisateurs et les institutions publiques. Il n’est donc pas anodin qu’une entité gouvernementale engage des poursuites judiciaires contre ces organismes de surveillance.
Dans un étrange retournement de situation à la suite d’une importante attaque de ransomware sur la ville de Columbus, dans l’Ohio, un juge a émis une ordonnance de protection temporaire contre le chercheur en cybersécurité David Leroy Ross. The Dispatch note que Ross aurait publié le mois dernier des informations concernant une faille de sécurité qu’il estimait que les autorités tentaient de passer sous silence.
L’attaque du 18 juillet a été attribuée au groupe de ransomware Rhysida. Elle a entraîné le vol de 6,5 téraoctets de données sensibles hébergées sur les serveurs de la ville de Columbus. Rhysida a tenté de vendre les informations aux enchères pour 1,7 million de dollars en bitcoins. Cependant, n’ayant pas réussi à trouver d’acheteur, le groupe a publié environ 45 % des données sur le dark web.
Le maire de Columbus, Andrew Ginther, a d’abord assuré au public que les données volées étaient soit cryptées, soit corrompues, ce qui les rendait inutilisables. Cependant, sous le pseudonyme de Connor Goodwolf, Ross a contesté ces affirmations en présentant aux médias locaux des preuves que les données étaient intactes et contenaient des informations « hautement sensibles ». Ces données comprenaient des informations personnelles sur les employés et les résidents de la ville, des informations sensibles sur les cas de violence domestique et les numéros de sécurité sociale des policiers et des victimes de crimes.
En réponse aux révélations de Ross, la ville de Columbus a intenté une action en justice contre lui, affirmant des actes criminels, une atteinte à la vie privée, une négligence et une conversion civile. La plainte soutient qu’en téléchargeant et en diffusant les données, Ross a interagi avec des éléments criminels sur le dark web, ce qui a nécessité une expertise et des outils spécialisés. La ville soutient également que ses actions ont rendu les données plus accessibles au public, ce qui représente un risque important pour la sécurité publique.
« Les données publiées sur le dark web ne sont pas facilement accessibles au public », ont affirmé les avocats de la ville.[The] « Le défendeur le fait ainsi. »
Un juge du comté de Franklin a émis cette semaine une ordonnance de restriction interdisant à Ross d’accéder aux données volées, de les télécharger ou de les diffuser. La décision a été prise « ex parte », ce qui signifie qu’elle a été rendue sans que Ross soit informé ou autorisé à présenter son dossier.
Ars Technica note que le procureur de la ville, Zach Klein, a défendu l’action en justice, affirmant que le procès était nécessaire pour empêcher la diffusion de dossiers d’enquête criminelle volés et pour protéger la sécurité publique.
« Il ne s’agit pas ici de liberté d’expression ou de dénonciation d’irrégularités », a-t-il déclaré. « Il s’agit du téléchargement et de la divulgation de dossiers d’enquêtes criminelles volés. »
Sans surprise, l’ordonnance restrictive a suscité la controverse. Ross a accusé la ville de tenter de faire de lui le bouc émissaire de ses manquements en matière de sécurité. Il a indiqué son intention de recourir à la justice, en impliquant potentiellement l’American Civil Liberties Union. Entre-temps, la ville est confrontée à d’autres défis juridiques, car des avocats civils ont déposé au moins deux plaintes demandant le statut de recours collectif pour l’échec de la ville à protéger les informations personnelles.