Une violation de données au US Marshals Service a révélé les informations personnelles des détenus
De la même manière que les responsables de l'application des lois devraient être des modèles de comportement pour les citoyens ordinaires, les organismes chargés de l'application des lois devraient montrer aux organisations privées et gouvernementales ce qu'il faut faire et ce qu'il ne faut pas faire dans diverses situations. Malheureusement, les choses ne fonctionnent pas toujours de cette façon. Le US Marshals Service (USMS), par exemple, a récemment subi une violation de données, et il faut dire que la réponse de l'agence après l'incident a été loin d'être idéale.
Des pirates informatiques cassent les serveurs de l'USMS et volent les données personnelles des prisonniers actuels et anciens
L'USMS fait partie du ministère de la Justice et son rôle principal est de capturer des fugitifs et de signifier des mandats d'arrêt. Apparemment, les données personnelles des personnes placées en garde à vue grâce aux actions de l'USMS sont enregistrées et stockées sur un serveur. À un moment donné l'an dernier, ce serveur a été compromis et ses données ont été volées.
Fin décembre 2019, le ministère de la Justice a informé l'USMS de la violation et peu de temps après, le trou a été bouché. À l'heure actuelle, l'USMS est en train d'identifier les prisonniers anciens et actuels affectés et de les informer par courrier postal. Ils ont parfaitement le droit de connaître l'incident car pendant la violation, les pirates ont siphonné toutes les informations dont ils ont besoin pour commettre un vol d'identité. Selon les notifications, la base de données volée comprenait les noms des personnes, les dates de naissance, les numéros de sécurité sociale et les adresses domiciliaires. Après avoir été informée de la violation, les personnes concernées ont été informées de ce qu'elles pouvaient faire pour se protéger contre le vol d'identité.
USMS ne veut pas parler de la brèche
L'USMS n'avait apparemment aucune intention d'informer la population de la violation de données. Il a envoyé les lettres sans rien annoncer, et les gens ne l'ont appris qu'après que certains des destinataires ont partagé des photos des notifications sur les réseaux sociaux. TechCrunch et ZDNet, les deux organes de presse qui ont écrit pour la première fois à propos de la violation, ont demandé à l'USMS d'autres commentaires, mais l'agence gouvernementale a préféré ne divulguer aucune autre information.
Il y a un manque tangible de détails autour de l'incident, et cela laisse pas mal de questions sans réponse. Nous ne savons pas, par exemple, pourquoi il a fallu plus de quatre mois à USMS avant de commencer à informer les personnes touchées par la violation de données. Les notifications elles-mêmes ne débordent pas exactement d'informations non plus. La lettre ne dit pas, par exemple, combien de personnes ont été affectées, quel type de serveur a été utilisé pour stocker les informations personnelles des prisonniers, ni comment et quand les pirates ont fait irruption.
Les organisations gouvernementales devraient savoir mieux que quiconque que divulguer correctement une violation de données n'est pas aussi simple que rédiger une brève notification et dire que la vie privée et la sécurité des personnes sont prises au sérieux. Même si une enquête est en cours, une transparence totale est essentielle pour que l'entreprise ou l'institution visée maintienne sa fiabilité aux yeux du public. Malheureusement, dans ce cas particulier, la transparence ne semble pas être très élevée sur la liste des priorités de l'USMS.