Le Department of Homeland Security a stocké des données sensibles du programme national de défense contre le bioterrorisme sur un site Web non sécurisé où il était vulnérable aux attaques de pirates informatiques pendant plus d'une décennie, selon des documents gouvernementaux examinés par le Los Angeles Times.

Les données comprenaient les emplacements d'au moins certains échantillonneurs d'air BioWatch, qui sont installés dans les stations de métro et autres lieux publics dans plus de 30 villes américaines et sont conçus pour détecter l'anthrax ou d'autres armes biologiques aéroportées, Les responsables de la sécurité intérieure ont confirmé. Il comprenait également les résultats des tests pour d'éventuels agents pathogènes, une liste des agents biologiques pouvant être détectés et des plans de réponse qui seraient mis en place en cas d'attaque.

Les informations, hébergées sur un site Web .org géré par un entrepreneur privé, ont été déplacées derrière un pare-feu sécurisé du gouvernement fédéral, et le site Web a été fermé en mai. Mais les responsables de la sécurité intérieure reconnaissent qu'ils ne savent pas si des pirates informatiques ont déjà eu accès aux données.

Les e-mails internes de la sécurité intérieure et d'autres documents montrent que la question a déclenché un affrontement acharné au sein du département pour savoir si la conservation des informations sur le site Web .org constituait une menace pour la sécurité nationale. Un ancien responsable de la sécurité de BioWatch a déposé une plainte de dénonciation alléguant qu'il avait été la cible de représailles après avoir critiqué le laxisme de la sécurité du programme.

Le site Web a partagé des informations entre les locaux, fonctionnaires étatiques et fédéraux. Il était facilement identifiable par les moteurs de recherche en ligne, mais un nom d'utilisateur et un mot de passe étaient nécessaires pour accéder aux données sensibles.

Un audit de sécurité réalisé en janvier 2017 a révélé des vulnérabilités « critiques » et « à haut risque », y compris un cryptage faible qui a rendu le site Web « extrêmement sujet » aux attaques en ligne. L'audit a conclu qu'il « ne semble pas y avoir de surveillance protectrice du site, " selon un rapport de la Homeland Security résumant les conclusions.

Un rapport d'un inspecteur général publié plus tard dans l'année indiquait que des informations sensibles étaient hébergées sur le portail BioWatch depuis 2007 et étaient vulnérables aux pirates. Le rapport a recommandé de déplacer les données derrière le pare-feu du gouvernement et a déclaré que les responsables de la sécurité intérieure avaient accepté de le faire.

On ne sait pas à quel point les données auraient été précieuses pour un groupe terroriste ou un État ennemi. Les scientifiques ont averti que la technologie BioWatch n'est pas fiable. Le système ne reconnaît qu'une gamme étroite de microbes, et il a du mal à faire la différence entre les bactéries environnementales typiques et les menaces dangereuses.

Toujours, plusieurs experts en biodéfense ont déclaré qu'il était troublant que les responsables de la sécurité intérieure n'aient pas réussi à sécuriser de manière adéquate les informations sensibles de l'un des programmes antiterroristes du pays.

"La publicité de vos vulnérabilités n'est jamais une bonne chose. Laisser vos adversaires accéder facilement à vos vulnérabilités - c'est un risque pour la sécurité nationale, à mon avis, " a déclaré Tom Ridge, qui, en tant que premier secrétaire à la Sécurité intérieure du pays, a supervisé le lancement de BioWatch en 2003, mais a depuis dénoncé le programme comme étant inefficace. "Chaque citoyen américain se demanderait, « Qu'est-ce qui est si facilement accessible par le reste du monde ? »"

James F. McDonnell, un secrétaire adjoint nommé par le président Donald Trump pour superviser le nouveau bureau de lutte contre les armes de destruction massive de la sécurité intérieure, qui comprend BioWatch, a déclaré que les données hébergées à l'extérieur du pare-feu sécurisé du gouvernement n'étaient pas suffisamment importantes pour constituer une menace pour la sécurité nationale, mais il a déclaré que les responsables avaient pris des mesures pour renforcer la cybersécurité dans l'ensemble du département. Il a noté que le problème était antérieur à sa nomination.

"Ce qui s'est passé avant, arrivé avant. Tu ne peux pas remettre le génie dans la bouteille, ", a-t-il déclaré. "Il y a eu une réelle montée en puissance des inquiétudes concernant la cybersécurité."

—-

Les problèmes de sécurité s'ajoutent à une longue liste de problèmes pour BioWatch.

Le programme, qui a coûté aux contribuables plus de 1,6 milliard de dollars, a été lancé deux ans après que des lettres contenant des spores d'anthrax aient tué cinq personnes et rendu 17 autres malades peu de temps après le 11 septembre. 2001, Attaques terroristes. BioWatch est devenu une partie du Bureau des affaires de santé de Homeland Security en 2007.

Une enquête du Times de 2012 a identifié de graves lacunes, y compris les fausses alarmes et les doutes quant à la fiabilité de BioWatch pour identifier un événement bioterroriste. En 2015, une étude du Government Accountability Office a conclu qu'on ne pouvait pas compter sur le programme pour détecter une attaque et a déclaré que BioWatch a généré 149 fausses alarmes de 2003 à 2014.

Chaque jour, les agents de santé publique de tout le pays collectent les filtres des échantillonneurs d'air et effectuent des tests sur le contenu, rechercher des signes d'agents pathogènes dangereux dans l'air. Dans certains cas, les rapports de résultats de laboratoire suspects sont téléchargés sur le portail BioWatch pour examen par d'autres responsables.

Certains responsables locaux se sont opposés au stockage de ces documents et d'autres documents sensibles sur un serveur fédéral auquel d'autres responsables gouvernementaux pourraient accéder à leur insu ou sans leur consentement, selon le rapport de l'inspecteur général. Par conséquent, le rapport dit, l'Office of Health Affairs a décidé de ne pas déplacer le portail à l'intérieur du pare-feu du Department of Homeland Security.

—-

En août 2016, Harry Jackson, qui a travaillé pour une branche de Homeland Security qui s'occupe de la sécurité de l'information, a été affecté au programme BioWatch. Trois mois plus tard, a-t-il déclaré dans une interview au Times, il a entendu parler de biowatchportal.org et a demandé à l'agence de cesser de l'utiliser, arguant qu'il abritait des informations classifiées et que les mesures de sécurité du portail étaient inadéquates.

Deux autres responsables du département chargés de surveiller la façon dont les informations sensibles sont traitées ont fait écho aux préoccupations dans les e-mails aux responsables de BioWatch, selon les dossiers examinés par le Times.

Les responsables de BioWatch ont repoussé. Michel Walter, le responsable du programme, a déclaré lors d'une conférence téléphonique avec d'autres responsables de la sécurité intérieure que les informations sur l'emplacement des échantillonneurs d'air du réseau ne compromettraient pas son efficacité, car elles ont été conçues pour détecter une attaque de guerre biologique massive. Les échantillonneurs sont bien en vue, il a dit, selon un enregistrement de l'appel passé par Jackson et revu par le Times.

Larry "Dave" Fluty, puis sous-secrétaire principal adjoint aux Affaires de la Santé, a fait valoir au cours du même appel que l'agence avait précédemment décidé que traiter les informations comme classifiées - et donc déclencher des directives d'accès plus strictes - nécessiterait des autorisations de sécurité pour environ 1, 000 responsables locaux impliqués dans la collecte et l'analyse des données des unités de collecte d'air.

"Il a été déterminé d'un point de vue politique que cela ne peut pas arriver, " il a dit.

Des semaines après la conférence téléphonique, Steven Lynch, puis chef de la division des programmes spéciaux de sécurité de Homeland Security, a écrit dans une note examinée par le Times que l'agence prévoyait de déplacer le portail sur un site .gov derrière le pare-feu fédéral sécurisé. Toujours, il a dit, les experts ont conclu qu'il n'y avait « aucune preuve d'activité criminelle ou suspecte » impliquant le portail .org et « un risque minime ou nul d'accès non autorisé ».

Mais une plainte déposée auprès de la hotline de l'inspecteur général avait déjà déclenché un audit interne de biowatchportal.org.

L'audit a révélé 41 vulnérabilités, et un scan a détecté une éventuelle tentative d'un hacker d'accéder au portail. L'équipe d'audit n'a pas pu valider le résultat de l'analyse, et l'équipe a recommandé que l'entrepreneur supervisant le site enquête. On ne sait pas si cela a été fait.

Le contracteur, Institut de gestion logistique, a refusé de commenter. Walter, Fluty et Lynch n'ont pas répondu aux courriels ou aux appels téléphoniques du Times.

—-

En janvier 2017, Jackson a publié ses inquiétudes concernant le portail dans le Journal of Bioterrorism &Biodefense. Son article détaillait ce qu'il appelait une sécurité « négligente » qui ne nécessitait qu'une authentification à un seul facteur pour accéder au site Web.

Les responsables du Département de la sécurité intérieure ont retiré BioWatch du portefeuille de Jackson, puis suspendu son habilitation de sécurité et l'a par la suite mis en congé administratif. Ils l'ont informé qu'il n'avait pas demandé l'autorisation appropriée pour publier son article et que celui-ci contenait des informations qui n'auraient pas dû être rendues publiques. Ils ont également cité sa récente condamnation pour conduite en état d'ébriété.

Jackson a déposé des plaintes de dénonciation auprès de plusieurs agences fédérales, alléguant avoir été victime de représailles pour avoir critiqué la sécurité du programme. Dans une, il a écrit qu'un pirate efficace pouvait « surveiller le système, manipuler des données, et créer de faux drapeaux afin de jalonner le fédéral, l'état et la réponse locale à un éventuel incident."

La plainte continuait :« À ce jour, Le DHS ne saura jamais le mal qui en a résulté car il n'y a pas de capacité de détection d'intrusion."

Le rapport de l'inspecteur général publié plus tard dans l'année indiquait qu'aucune information classifiée n'avait été trouvée sur le portail BioWatch, mais il a confirmé que des "vulnérabilités critiques et à haut risque" pourraient permettre à un attaquant d'accéder à des informations sensibles sur le site.

En octobre 2017, La sécurité intérieure a rétabli l'habilitation de sécurité de Jackson mais lui a adressé un avertissement. Une lettre l'informant de la décision ne traitait pas de sa plainte de dénonciateur. Il quitte l'agence quelques semaines plus tard.

Aucune agence fédérale n'a accepté d'enquêter sur les plaintes de Jackson. En mai, il a déposé un recours auprès du Bureau de l'inspecteur général de la communauté du renseignement. Il attend une réponse.

©2019 Los Angeles Times
Distribué par Tribune Content Agency, LLC.