Un juge de l’Ohio a émis une ordonnance de restriction temporaire contre un chercheur en sécurité qui a présenté des preuves selon lesquelles une récente attaque de ransomware sur la ville de Columbus a permis de récupérer des quantités d’informations personnelles sensibles, contredisant ainsi les affirmations des responsables de la ville.
L’ordonnance, émise par un juge du comté de Franklin dans l’Ohio, a été rendue après que la ville de Columbus a été victime d’une attaque de ransomware le 18 juillet qui a siphonné 6,5 téraoctets de données de la ville. Un groupe de ransomware connu sous le nom de Rhysida a revendiqué la responsabilité de l’attaque et a proposé de vendre aux enchères les données avec une offre de départ d’environ 1,7 million de dollars en bitcoins. Le 8 août, après que la vente aux enchères n’a pas trouvé d’enchérisseur, Rhysida a publié ce qu’elle a déclaré être environ 45 % des données volées sur le site Web sombre du groupe, qui est accessible à toute personne disposant d’un navigateur TOR.
Le dark web n’est pas facilement accessible au public, vraiment ?
Le maire de Columbus, Andrew Ginther, a déclaré le 13 août qu’une « avancée » dans l’enquête judiciaire de la ville sur la brèche avait révélé que les fichiers sensibles obtenus par Rhysida étaient soit cryptés, soit corrompus, les rendant « inutilisables » pour les voleurs. Ginther a ensuite déclaré que le manque d’intégrité des données était probablement la raison pour laquelle le groupe de ransomware n’avait pas pu les vendre aux enchères.
Peu après les remarques de Ginther, le chercheur en sécurité David Leroy Ross a contacté les médias locaux et présenté des preuves montrant que les données publiées par Rhysida étaient entièrement intactes et contenaient des informations très sensibles concernant les employés de la ville et les résidents. Ross, qui utilise le pseudonyme de Connor Goodwolf, a présenté des captures d’écran et d’autres données montrant que les fichiers publiés par Rhysida comprenaient des noms de personnes ayant participé à des affaires de violence domestique et des numéros de sécurité sociale d’agents de police et de victimes de crimes. Certaines de ces données s’étalaient sur plusieurs années.
Jeudi, la ville de Columbus a poursuivi Ross pour dommages et intérêts présumés pour actes criminels, atteinte à la vie privée, négligence et détournement de fonds publics. Le procès affirmait que le téléchargement de documents à partir d’un site Web sombre géré par des attaquants de ransomware équivalait à une « interaction » avec eux et nécessitait une expertise et des outils spéciaux. Le procès s’est poursuivi en mettant en cause le fait que Ross ait alerté les journalistes sur ces informations, qui, selon lui, ne seraient pas facilement obtenues par d’autres.
« Seuls les individus désireux de naviguer et d’interagir avec les éléments criminels sur le dark web, qui disposent également de l’expertise informatique et des outils nécessaires pour télécharger des données à partir du dark web, pourraient le faire », ont écrit les avocats de la ville. « Les données publiées sur le dark web ne sont pas facilement accessibles au public. Le défendeur fait en sorte qu’elles le soient. »
Le même jour, un juge du comté de Franklin a accordé la requête de la ville visant à obtenir une ordonnance de restriction temporaire contre Ross. Cette ordonnance interdit au chercheur « d’accéder à, et/ou de télécharger, et/ou de diffuser » tout fichier municipal publié sur le dark web. La requête a été présentée et accordée « ex parte », c’est-à-dire en secret, avant que Ross n’en soit informé ou n’ait eu l’occasion de présenter son cas.
Lors d’une conférence de presse jeudi, le procureur de la ville de Columbus, Zach Klein, a défendu sa décision de poursuivre Ross et d’obtenir l’ordonnance de restriction.
« Il ne s’agit pas de liberté d’expression ou de dénonciation », a-t-il déclaré. « Il s’agit du téléchargement et de la divulgation de dossiers d’enquête criminelle volés. Cet effet vise à obtenir [Ross] « d’arrêter de télécharger et de divulguer les casiers judiciaires volés afin de protéger la sécurité publique. »
Le bureau du procureur de la ville de Columbus n’a pas répondu aux questions envoyées par courrier électronique. Il a toutefois fait la déclaration suivante :
La plainte déposée par la ville de Columbus concerne des données volées que M. Ross a téléchargées du dark web sur son propre appareil local et diffusées aux médias. En fait, plusieurs médias ont utilisé les données volées fournies par Ross pour faire du porte-à-porte et contacter des personnes en utilisant les noms et adresses contenus dans les données volées. Comme cela a été largement rapporté, M. Ross a également montré à plusieurs médias des données confidentielles volées appartenant à la ville qui, selon lui, révèlent l’identité d’agents de police infiltrés et de victimes d’actes criminels ainsi que des preuves issues d’enquêtes criminelles en cours. Le partage de ces données volées menace la sécurité publique et l’intégrité des enquêtes. L’ordonnance de restriction temporaire accordée par le tribunal interdit à M. Ross de diffuser les données volées de la ville. M. Ross est toujours libre de parler de l’incident informatique et même de décrire le type de données qui se trouvent sur le dark web, mais il ne peut pas diffuser ces données.
Les tentatives pour joindre Ross afin d’obtenir un commentaire ont été infructueuses. Le courrier électronique envoyé au bureau du maire de Columbus est resté sans réponse.
Comme le montre la capture d’écran ci-dessus du site Web sombre de Rhysida vendredi matin, les données sensibles restent accessibles à quiconque les recherche. L’ordonnance de vendredi peut interdire à Ross d’accéder aux données ou de les diffuser aux journalistes, mais elle n’a aucun effet sur ceux qui prévoient d’utiliser les données à des fins malveillantes.