Le ministère de la Justice de Californie manquait de garanties de base pour les informations sur les propriétaires d’armes à feu, selon les experts

Les experts en cybersécurité affirment que le ministère de la Justice de Californie n’a apparemment pas suivi les procédures de sécurité de base sur son site Web, exposant les informations personnelles de centaines de milliers de propriétaires d’armes à feu.

Le site Web a été conçu pour afficher uniquement des données générales sur le nombre et l’emplacement des permis de port dissimulés d’armes à feu, ventilés par année et par comté. Mais pendant environ 24 heures à partir de lundi, une feuille de calcul avec des noms et des informations personnelles n’était qu’à quelques clics, prête à être révisée ou téléchargée.

Katie Moussouris, fondatrice et PDG de Luta Security, a déclaré qu’il aurait dû y avoir des contrôles d’accès pour s’assurer que les informations restaient hors de portée des parties indésirables, et que les données sensibles auraient dû être cryptées pour qu’elles soient inutilisables.

Les dommages causés dépendent de qui a accédé aux données, a-t-elle déclaré. Les criminels pourraient vendre ou utiliser les informations d’identification privées, ou utiliser les antécédents criminels des demandeurs de permis « pour le chantage et l’influence », a-t-elle déclaré.

Certains tentent déjà d’utiliser ces informations pour critiquer les défenseurs du contrôle des armes à feu qui, selon eux, se sont révélés avoir des permis de port dissimulés. Un site en ligne appelé The Gun Feed comprenait un message appelant un avocat de premier plan du Giffords Law Center pour prévenir la violence armée. Mais le centre a déclaré que le site avait la mauvaise personne – quelqu’un portant le même nom que son avocat.

Cinq autres bases de données sur les armes à feu ont également été compromises, mais le bureau du procureur général Rob Bonta n’a pas été en mesure de dire ce qui s’est passé ni même combien de personnes figurent dans les bases de données.

« Nous menons une enquête complète et approfondie sur tous les aspects de l’incident et prendrons toutes les mesures appropriées en réponse à ce que nous apprendrons », a déclaré vendredi son bureau dans un communiqué.

Il a déclaré que l’une des autres bases de données répertoriait les armes de poing mais pas les personnes, tandis que les autres, y compris sur les ordonnances d’interdiction de la violence armée, ne contenaient pas de noms mais pouvaient avoir d’autres informations d’identification.

« Le volume d’informations est incroyablement sensible », a déclaré Sam Paredes, directeur exécutif de Gun Owners of California.

« Adjoints au procureur, policiers, juges, ils font tout ce qu’ils peuvent pour protéger leurs adresses résidentielles », a-t-il déclaré. « Le péril dans lequel le procureur général a mis des centaines de milliers de personnes … est incalculable. »

L’avocat Chuck Michel, président de la California Rifle and Pistol Association, a déclaré qu’il avait reçu des centaines d’appels et de courriels de propriétaires d’armes à feu cherchant à se joindre à ce qu’il espère être un recours collectif.

La publication inappropriée est intervenue quelques jours après que la Cour suprême des États-Unis a facilité le port d’armes cachées et que Bonta a travaillé avec les législateurs de l’État pour corriger la nouvelle loi de port dissimulée vulnérable de la Californie.

Aucune preuve n’a jusqu’à présent révélé que la fuite était délibérée. Des experts indépendants en cybersécurité ont déclaré que la publication aurait facilement pu être une surveillance laxiste.

Le bureau de Bonta n’a pas été en mesure de dire si et à quelle fréquence les bases de données ont été téléchargées. Moussouris a déclaré que l’agence disposait de ces informations si elle conservait des journaux d’accès, ce qu’elle a qualifié d’étape fondamentale et nécessaire pour protéger les données sensibles.

Tim Marley, vice-président de la gestion des risques de la société de cybersécurité Cerberus Sentinel, a remis en question la rapidité de la réponse de l’agence à un problème avec un site Web qui aurait dû être surveillé en permanence.

« Compte tenu de la nature sensible des données exposées et de l’impact potentiel sur les personnes directement impliquées, je m’attendrais à une réponse en moins de 24 heures, de la notification à l’action », a-t-il déclaré.

Le bureau de Bonta a déclaré qu’il examinait le calendrier pour voir quand il a découvert le problème.

La conception de sites Web publics « devrait toujours être faite avec un effort pour intégrer la sécurité dans le processus », a déclaré Marley.

Les développeurs doivent également tester correctement leurs systèmes avant de lancer un nouveau code ou de modifier le code existant, a-t-il déclaré. Pourtant, les organisations précipitent souvent les changements parce qu’elles se concentrent « sur le bon fonctionnement plutôt que sur la sécurité ».

Chaque sénateur et membre de l’Assemblée de l’État républicain a appelé Bonta, un démocrate candidat à la réélection, à augmenter ses révélations sur la fuite d’informations, qui, selon eux, viole la loi de l’État. Ils ont également demandé des informations spécifiques sur la libération et l’enquête, et les sénateurs ont critiqué le département pour un manque apparent de tests et de sécurité.