Chercheur en sécurité perquisitionné par le FBI pour avoir trouvé et signalé des données exposées publiquement

Le FBI perquisitionne la maison d’un chercheur qui a alerté une entreprise sur des données exposées publiquement

Cela se produit encore en Amérique. Après avoir arrêté un chercheur en sécurité pour avoir exposé des failles sur un site web d’élections, le FBI a maintenant perquisitionné la maison du chercheur qui avait signalé des données exposées publiquement à une entreprise.

Il semble que les forces de l’ordre en Amérique ne peuvent pas faire la distinction entre les cybercriminels et les véritables chercheurs en sécurité qui prennent sur eux de signaler des failles aux entreprises/autorités pour le bien commun. La maison de Justin Shafer, 36 ans, du Texas, technicien informatique dentaire et chercheur en sécurité logicielle, a été perquisitionnée par plus d’une douzaine d’agents du FBI qui avaient précédemment signalé des problèmes de sécurité dans le logiciel et l’infrastructure serveur d’un fournisseur de services de santé basé aux États-Unis, rapporte The Daily Dot.

Avant que sa maison ne soit fouillée, Shafer avait signalé une vulnérabilité dans le logiciel de gestion de cabinet Eaglesoft au fabricant Patterson Dental en février, qui stockait des dossiers privés de patients sur un serveur FTP accessible au public. Eaglesoft est fabriqué par Patterson Dental, une division de Patterson Companies.

Shafer a découvert cela alors qu’il enquêtait sur le logiciel Eaglesoft de l’entreprise. Il recherchait les identifiants de base de données codés en dur lorsqu’il a découvert un serveur FTP anonyme auquel n’importe qui pouvait accéder. Shafer a informé l’entreprise ainsi que le CERT.

Shafer a travaillé avec DataBreaches.net pour sécuriser le serveur FTP avec Patterson Dental et a rendu ses découvertes publiques à la mi-février. Le serveur FTP non sécurisé d’Eaglesoft a exposé des informations sensibles sur environ 22 000 patients, et Shafer affirme qu’il le faisait depuis aussi tôt que 2006.

À la fin mars, le US-CERT a également publié une alerte sur les problèmes du logiciel Eaglesoft de Patterson Dental, liés à ses identifiants de base de données codés en dur. Il a écrit : « Un attaquant ayant connaissance des identifiants codés en dur et ayant accès au réseau de la base de données peut être en mesure d’obtenir des informations sensibles sur les patients. » Le CERT a ajouté qu’il était « actuellement inconscient d’une solution complète à ce problème. »

Cependant, plusieurs mois plus tard, Shafer et sa femme, qui dormaient paisiblement, ont été réveillés à 6h30, heure locale, mardi matin, par une sonnette qui sonnait continuellement. Plus tard, la famille a entendu un fort coup à leur porte.

« Ma première pensée a été que mon père était mort, » a déclaré Shafer au Daily Dot lors d’un entretien téléphonique, « mais ensuite, en allant à la porte, j’ai vu toutes les lumières clignotantes bleues et rouges. »

Avec le bébé pleurant de peur à cause du bruit, Shafer a ouvert la porte pour trouver ce qu’il estimait être 12 à 15 agents du FBI. L’un d’eux « pointait une arme d’assaut ‘grande et verte’ sur moi, » a déclaré Shafer au Daily Dot, « et le berceau du bébé n’était qu’à quelques pieds de la porte. »

Les agents auraient ordonné à Shafer de mettre ses mains derrière son dos. Alors qu’ils l’attachent, sa fille de 9 ans pleurait de terreur, a déclaré Shafer. Sa femme a essayé de dire aux agents qu’il y avait trois jeunes enfants dans la maison, mais ils ne semblaient pas s’en soucier.

Une fois menotté, Shafer a été traîné à l’extérieur tout en portant encore son short, « ne sachant pas ce qui se passait ni pourquoi. »

Au cours des heures suivantes, les agents ont saisi tous les ordinateurs et appareils de Shafer—« et même mes magazines Dentrix, » a déclaré Shafer. « La seule chose qu’ils ont laissée était le téléphone de ma femme. » La liste des biens saisis montre que les agents fédéraux ont pris 29 articles.

Quel était son crime présumé ? Divulgation responsable. Au lieu de remercier le chercheur pour sa divulgation appropriée d’une fuite de données sensibles, Patterson Digital a déposé une plainte auprès des autorités locales concernant un piratage.

Les agents du FBI ont dit à Shafer pendant la perquisition que Patterson Dental avait affirmé qu’il avait « dépassé l’accès autorisé » en recherchant le problème du serveur FTP accessible au public.

N’importe qui aurait pu accéder au serveur, ce n’est pas comme s’il était sécurisé. Shafer a déclaré au Daily Dot que le serveur FTP avait été non sécurisé pendant des années.

Dans une déclaration par e-mail, il a écrit :

« De nombreux informaticiens dans l’industrie dentaire savent que le site FTP de Patterson est non sécurisé depuis de nombreuses années. Je me souviens en fait qu’ils avaient un site FTP protégé par mot de passe en 2006. Pour obtenir le mot de passe, vous deviez appeler le support technique d’Eaglesoft/Patterson Dental et ils vous donnaient simplement le mot de passe du site FTP si vous vouliez télécharger quelque chose. Il n’a jamais changé. À un moment donné, ils ont rendu le site FTP anonyme. Je pense que c’était vers 2010. »

Ce n’est pas la première fois que Shafer fait face à ce problème dans l’industrie de la santé. Dans le passé, le chercheur avait découvert que Henry Schein faisait de fausses déclarations selon lesquelles son logiciel Dentrix G5 utilisait le cryptage. Les découvertes de Shafer ont conduit à une autre alerte du US-CERT et à une amende de la FTC.