Listes de témoins et témoignages, évaluations de la santé mentale, allégations détaillées d’abus et secrets commerciaux d’entreprise. Il s’agit là de quelques-uns des documents judiciaires sensibles que le chercheur en sécurité Jason Parker a déclaré avoir trouvé exposés à l’Internet ouvert, accessible à tous, et provenant de nul autre que les tribunaux eux-mêmes.
Au cœur de tout système judiciaire se trouve son système d’archives judiciaires, la pile technologique permettant de soumettre et de stocker les dossiers juridiques pour les procès pénaux et les affaires civiles. Les systèmes d’archives judiciaires sont souvent en partie en ligne, ce qui permet à quiconque de rechercher et d’obtenir des documents publics, tout en restreignant l’accès aux dossiers juridiques sensibles dont la divulgation publique pourrait compromettre une affaire.
Mais Parker a déclaré que certains systèmes d’archives judiciaires utilisés aux États-Unis présentent de simples failles de sécurité qui exposent à quiconque sur le Web des documents juridiques scellés, confidentiels et sensibles, mais non expurgés.
Parker a déclaré à TechCrunch qu’ils avaient été contactés en septembre par quelqu’un qui avait lu leur précédent rapport documentant une vulnérabilité dans Bluesky, le nouveau réseau social apparu après la vente de Twitter à Elon Musk. L’informateur a déclaré à Parker que deux systèmes d’archives judiciaires américains présentaient des vulnérabilités qui exposaient des documents juridiques sensibles à n’importe qui sur le Web. L’informateur a signalé les bugs aux tribunaux concernés mais a déclaré n’avoir rien reçu en réponse, a déclaré Parker à TechCrunch lors d’un appel plus tôt ce mois-ci.
Muni des conclusions de l’informateur, Parker est tombé dans un terrier de lapin en enquêtant sur plusieurs systèmes d’archives judiciaires concernés. Parker a ensuite découvert des failles de sécurité dans au moins huit systèmes d’archives judiciaires utilisés en Floride, en Géorgie, au Mississippi, en Ohio et au Tennessee.
« Le premier document que j’ai découvert était une ordonnance d’un juge dans une affaire de violence domestique. L’ordre était d’accorder des changements de nom aux enfants afin de les protéger du conjoint », a déclaré Parker à TechCrunch, parlant de la reproduction de la première vulnérabilité. « Immédiatement, ma mâchoire s’est dirigée vers le centre de la terre et est restée ainsi pendant des semaines. »
« Le document suivant que j’ai trouvé dans l’autre tribunal était une évaluation complète de la santé mentale. Il faisait trente pages dans une affaire pénale, et il était aussi détaillé qu’on pourrait s’y attendre ; ça venait d’un médecin », ont-ils ajouté.
Les bugs varient en fonction de leur complexité, mais pourraient tous être exploités par quiconque utilisant uniquement les outils de développement intégrés à n’importe quel navigateur Web, a déclaré Parker.
Ces types de bogues dits « côté client » sont exploitables avec un navigateur car un système affecté n’effectuait pas les contrôles de sécurité appropriés pour déterminer qui est autorisé à accéder aux documents sensibles qui y sont stockés.
L’un des bugs était aussi simple à exploiter que l’incrémentation d’un numéro de document dans la barre d’adresse du navigateur d’un système d’archives judiciaires de Floride, a déclaré Parker. Un autre bug permettait à quiconque d’accéder « automatiquement et sans mot de passe » à un système d’archives judiciaires en ajoutant un code à six lettres à n’importe quel nom d’utilisateur, que Parker a déclaré avoir trouvé sous forme de lien cliquable dans un résultat de recherche Google.
Avec l’aide du centre de divulgation des vulnérabilités CERT/CC et de l’équipe de divulgation coordonnée des vulnérabilités de CISA, qui ont aidé à la coordination de la divulgation de ces failles, Parker a partagé les détails de neuf vulnérabilités au total avec les fournisseurs et les autorités judiciaires concernés dans le but de les corriger.
Les résultats sont mitigés.
Trois fournisseurs de technologie ont corrigé les bogues dans leurs systèmes d’archives judiciaires respectifs, a déclaré Parker, mais seules deux entreprises ont confirmé à TechCrunch que les correctifs avaient pris effet.
Catalis, une société gouvernementale de logiciels technologiques qui fabrique CMS360, un système d’archives judiciaires utilisé par les systèmes judiciaires de Géorgie, du Mississippi, de l’Ohio et du Tennessee, a reconnu la vulnérabilité d’une « application secondaire distincte » utilisée par certains systèmes judiciaires qui permet au public, aux avocats, ou des juges pour rechercher des données CMS360.
« Nous n’avons aucun enregistrement ou journal indiquant que des données confidentielles ont été accessibles via cette vulnérabilité, et nous n’avons reçu aucun rapport ou preuve de ce type », a déclaré Eric Johnson, directeur de Catalis, dans un e-mail adressé à TechCrunch. Catalis ne précise pas explicitement si elle tient les journaux spécifiques dont elle aurait besoin pour exclure tout accès abusif à des documents judiciaires sensibles.
La société de logiciels Tyler Technologies a déclaré avoir corrigé des vulnérabilités dans son module Case Management Plus dans un système d’archives judiciaires utilisé exclusivement en Géorgie, a déclaré la société à TechCrunch.
« Nous avons été en communication avec le chercheur en sécurité et avons confirmé les vulnérabilités », a déclaré la porte-parole de Tyler, Karen Shields. « À l’heure actuelle, nous n’avons aucune preuve de découverte ou d’exploitation par un mauvais acteur. » L’entreprise n’a pas précisé comment elle était parvenue à cette conclusion.
Parker a déclaré que Henschen & Associates, un fabricant de logiciels local de l’Ohio qui fournit un système d’archives judiciaires appelé CaseLook dans tout l’État, a corrigé la vulnérabilité mais n’a pas répondu aux e-mails. Le président de Henschen, Bud Henschen, n’a pas non plus répondu aux e-mails de TechCrunch ni confirmé que la société avait corrigé le bug.
Dans leur divulgation publiée jeudi, Parker a également déclaré avoir informé cinq comtés de Floride par l’intermédiaire du bureau de l’administrateur des tribunaux de l’État. On pense que les cinq tribunaux de Floride ont développé en interne leur propre système de dossiers judiciaires.
On sait qu’un seul comté a corrigé la vulnérabilité découverte dans son système et exclu tout accès inapproprié aux dossiers judiciaires sensibles.
Le comté de Sarasota a déclaré avoir corrigé une vulnérabilité dans son système d’archives judiciaires qu’il appelle ClerkNet, qui permettait l’accès aux documents en incrémentant les numéros de documents numériquement séquentiels. Dans une lettre fournie à TechCrunch lorsqu’elle a été contactée pour commentaires, la greffière du tribunal de circuit du comté de Sarasota, Karen Rushing, a déclaré que l’examen de ses journaux d’accès « n’a révélé aucun cas d’accès à des informations scellées ou confidentielles ». Le comté a contesté l’existence d’une deuxième faille signalée par Parker.
Compte tenu de la simplicité de certaines vulnérabilités, il est peu probable que Parker ou l’informateur initial soient les seuls à connaître leur exploitabilité.
Les quatre comtés restants de Floride n’ont pas encore reconnu les failles, ni dit s’ils ont mis en œuvre des correctifs, ni confirmé s’ils ont la capacité de déterminer si des documents sensibles ont déjà été consultés.
Le comté de Hillsborough, qui comprend Tampa, n’a pas voulu dire si ses systèmes avaient été corrigés suite à la divulgation de Parker. Dans un communiqué, le porte-parole du greffier du comté de Hillsborough, Carson Chambers, a déclaré : « La confidentialité des archives publiques est une priorité absolue du bureau du greffier du comté de Hillsborough. Plusieurs mesures de sécurité sont en place pour garantir que les dossiers judiciaires confidentiels ne peuvent être consultés que par des utilisateurs autorisés. Nous mettons systématiquement en œuvre les dernières améliorations de sécurité des systèmes Clerk pour empêcher que cela ne se produise.
Le comté de Lee, qui couvre Fort Myers et Cape Coral, n’a pas non plus voulu dire s’il avait corrigé la vulnérabilité, mais a déclaré qu’il se réservait le droit d’engager des poursuites judiciaires contre le chercheur en sécurité.
Lorsqu’il a été contacté pour commenter, le porte-parole du comté de Lee, Joseph Abreu, a fourni une déclaration passe-partout identique à celle du comté de Hillsborough, avec l’ajout d’une menace juridique à peine voilée. « Nous interprétons tout accès non autorisé, intentionnel ou non, comme une violation potentielle du chapitre 815 du Statut de Floride, et peut également entraîner des poursuites civiles de la part de notre bureau. »
Les représentants des comtés de Monroe et de Brevard, auprès desquels Parker a également déposé des divulgations de vulnérabilités, n’ont pas répondu aux demandes de commentaires.
Pour Parker, leurs recherches représentent des centaines d’heures non rémunérées, mais ne représentent que la pointe de l’iceberg des systèmes d’archives judiciaires concernés, notant qu’au moins deux autres systèmes d’archives judiciaires présentent aujourd’hui des vulnérabilités similaires non corrigées.
Parker a déclaré qu’ils espéraient que leurs découvertes contribueraient à apporter des changements et à stimuler l’amélioration de la sécurité des applications technologiques gouvernementales. « La technologie gouvernementale est en panne », ont-ils déclaré.
En savoir plus sur TechCrunch :
Vous pouvez contacter Zack Whittaker sur Signal et WhatsApp au +1 646-755-8849 ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.