Les États-Unis intentent une action en justice contre Georgia Tech pour des failles de cybersécurité, l'administrateur du laboratoire s'est opposé à l'utilisation d'un logiciel antivirus

Publié le 28 août 2024 par Zaebos @MetatroneFR

Un procès fédéral allègue le non-respect des protocoles de sécurité du DoD

La vue d'ensemble : Georgia Tech aurait du mal à faire en sorte que ses chercheurs se conforment aux exigences strictes en matière de sécurité informatique, un problème qui a attiré l'attention du ministère de la Justice dans le cadre de sa répression du respect des règles de cybersécurité chez les sous-traitants du gouvernement. Malheureusement, cette surveillance s'étend aux activités de recherche et développement financées par des agences fédérales. La Civil Cyber-Fraud Initiative du DoJ, lancée en 2021, vise à tenir responsables ceux qui déforment leurs pratiques de cybersécurité ou violent sciemment les exigences fédérales. Dans un nouveau procès contre l'école, le DoJ allègue que Georgia Tech s'est livrée à de telles violations.

Dans un contexte de préoccupations croissantes concernant le respect des normes de cybersécurité dans les milieux de recherche, le gouvernement américain a intenté une action en justice contre le Georgia Institute of Technology, visant spécifiquement le Dr Emmanouil « Manos » Antonakakis et son laboratoire de cybersécurité. La plainte allègue de multiples manquements au respect des protocoles de sécurité obligatoires pour les projets de recherche du ministère de la Défense, ce qui soulève de sérieuses questions sur la protection des données gouvernementales sensibles gérées par l'institution.

Les principales allégations portent sur la non-conformité présumée du laboratoire avec la publication spéciale 800-171 du National Institute of Standards and Technology, qui décrit les protocoles de sécurité critiques pour le traitement des informations contrôlées non classifiées.

L’une des omissions les plus importantes citées dans le procès est l’absence d’installation d’un logiciel antivirus sur les terminaux qui ont accédé à ces informations sensibles ou les ont stockées. L’absence de telles mesures de cybersécurité fondamentales aurait accru le risque d’accès non autorisé et de violations potentielles des données.

La plainte du gouvernement dresse un tableau inquiétant de négligence, accusant Georgia Tech et Antonakakis d'avoir sciemment soumis des factures pour des projets du DoD tout en étant conscients de leur non-conformité aux exigences de sécurité. Selon la plainte, cela équivaut à une fraude, car le ministère de la Défense a reçu une technologie qui n'était pas suffisamment protégée contre toute divulgation non autorisée.

La plainte stipule : « En fin de compte, le DoD a payé pour une technologie militaire que les défendeurs ont stockée dans un environnement qui n'était pas protégé contre toute divulgation non autorisée, et les défendeurs n'ont même pas surveillé les violations afin qu'eux-mêmes et le DoD puissent être alertés si des informations étaient compromises. Ce que le DoD a reçu en échange de ses fonds était d'une valeur réduite ou nulle, et ne reflétait pas le bénéfice de son marché. »

Antonakakis, l'un des principaux protagonistes du procès, aurait refusé l'installation d'un logiciel antivirus, le qualifiant d'« échec total ». Malgré les demandes répétées des administrateurs de Georgia Tech, il s'est opposé à cette mesure de sécurité de base, choisissant plutôt de s'appuyer uniquement sur le pare-feu de l'école.

Pour compliquer encore les choses, Georgia Tech a soumis une note d’auto-évaluation de 98 sur 110 pour ses contrôles de sécurité. Cependant, cette note était basée sur un modèle théorique plutôt que sur un reflet précis de sa conformité réelle en matière de sécurité. En raison de l’absence d’un système informatique unifié à l’échelle du campus, les évaluations de sécurité auraient dû être menées séparément pour différentes configurations. La note globale trompeuse ne tenait pas compte des différents niveaux de conformité entre les départements et les laboratoires, créant un faux sentiment de sécurité.

Le procès met également en lumière un problème culturel plus large au Georgia Tech, où la conformité aux règles de cybersécurité était considérée comme une contrainte. Les chercheurs, qui ont joué un rôle déterminant dans l’obtention de contrats gouvernementaux importants, ont exercé une influence considérable sur le campus. Leurs demandes de contournement des règles de conformité ont souvent été satisfaites, car les avantages financiers de ces contrats étaient considérables.

L'affaire a été révélée par des lanceurs d'alerte au sein du personnel informatique de Georgia Tech, qui ont révélé le manquement de l'institution à ses obligations en matière de cybersécurité. Selon la plainte déposée par les lanceurs d'alerte, il y avait un manque systémique d'application des réglementations en matière de cybersécurité, motivé par la volonté de l'institution de s'adapter aux chercheurs qui trouvaient ces règles onéreuses.

En poursuivant en justice Georgia Tech, le gouvernement souhaite envoyer un message clair aux autres institutions académiques : le respect des obligations de sécurité n’est pas négociable lorsqu’un financement fédéral est en jeu.

Crédit photo : Wizzito