L'agence gouvernementale qui collecte les impôts fonciers à Porto Rico a accidentellement révélé les numéros de sécurité sociale d'environ un million de personnes, ont appris le Centro de Periodismo Investigativo et ProPublica.

Il s'agit de la dernière faille de cybersécurité du gouvernement de Porto Rico, avec des failles technologiques au cours des trois dernières années perturbant les services gouvernementaux, mettant des sites Web hors ligne et provoquant la publication d'informations personnelles sur les citoyens sur le dark web.

CPI et ProPublica ont pris conscience de la vulnérabilité liée à la carte interactive des propriétés du Centre de collecte des recettes municipales, connue sous le nom de Catastro Digital, et en ont informé l'agence à la mi-juin.

L'outil en ligne fournit des informations telles que la taille, les limites, l'évaluation fiscale, le prix de vente et le nom du propriétaire pour chaque propriété enregistrée sur l'île.

Même si une simple recherche sur la carte ne révélerait pas d'informations sensibles, toute personne comprenant comment les sites Web demandent des données pourrait télécharger des informations personnelles non protégées telles que des numéros de sécurité sociale sans nom d'utilisateur ni mot de passe.

Les médias ont pu vérifier la vulnérabilité et ont fourni à l'agence, connue sous ses initiales espagnoles CRIM, une description détaillée du problème, y compris les serveurs et dossiers spécifiques contenant les données compromises.

Malgré le rapport, le CRIM a nié à plusieurs reprises qu'il y ait des problèmes avec son système.

« Après un examen de la plateforme Catastro Digital, il a été déterminé qu'il n'y a eu AUCUNE violation des renseignements personnels confidentiels des contribuables, car Catastro Digital ne contient ni n'affiche le type d'informations signalées », a déclaré le directeur général du CRIM, Javier García Cintrón.

Mais quelques jours après que CPI et ProPublica ont contacté le CRIM, les agences de presse ont découvert que les failles de sécurité avaient été corrigées.

García a nié cela et a déclaré qu'il n'était pas nécessaire de résoudre le problème. Une loi de Porto Rico exige que toutes les entreprises, y compris les agences gouvernementales, informent immédiatement les utilisateurs si leurs informations personnelles ont été violées. Cependant, García a déclaré que l'agence ne contacterait pas les utilisateurs pour leur faire savoir que leurs numéros de sécurité sociale pourraient être divulgués car “aucune information protégée n'était en danger”.

Le CRIM n'a pas non plus informé le Service d'innovation et de technologie de Porto Rico, connu sous le nom de PRITS, qui supervise tous les systèmes informatiques du gouvernement. Le protocole de cybersécurité du gouvernement exige d'informer le PRITS de « tout incident de sécurité suspecté ».

Un porte-parole du PRITS a refusé de répondre aux questions, affirmant qu'elles devaient être soumises en vertu de la loi sur l'information publique de Porto Rico, qui vise à permettre aux citoyens d'obtenir des documents gouvernementaux et non de répondre aux questions de la presse.

Jusqu'à présent cette année, plus de 2 millions de tentatives de cyberattaques ont été enregistrées au sein du gouvernement de Porto Rico, selon les données du PRITS. La moitié de ces incidents étaient des incidents critiques qui, selon l’agence, ont entraîné « de graves impacts sur les opérations critiques, une compromission de données sensibles ou une menace imminente pour la sécurité de l’agence ou des données gouvernementales ».

En mars, des citoyens ont dû reporter leur permis de conduire et leurs rendez-vous d'enregistrement après une tentative de cyberattaque contre les systèmes du ministère des Transports. L'année dernière, les résidents de Porto Rico n'ont pas pu vérifier leur casier judiciaire, dont ils ont besoin pour travailler, pendant près d'une semaine en raison d'un « accès non autorisé » à la base de données des casiers judiciaires du ministère local de la Justice. En 2023, les informations personnelles des clients et des employés des services d’eau de Porto Rico ont été publiées sur le dark web à la suite d’une attaque de ransomware.

Une augmentation des attaques a conduit les législateurs de Porto Rico à adopter une loi complète sur la cybersécurité, la loi 40, en 2024, exigeant que toutes les agences gouvernementales mettent en œuvre des normes et principes minimums de cybersécurité. Elle prévoyait également des sanctions en cas de non-conformité et exigeait que toutes les agences gouvernementales procèdent à une évaluation des risques au moins une fois par an.

Mais trois experts en cybersécurité ont déclaré que les autorités n'avaient pas réussi à mettre pleinement en œuvre les normes de sécurité énoncées dans la loi, alors même que les attaques devenaient plus fréquentes et sophistiquées. Au lieu d’évaluer régulièrement et de remédier aux vulnérabilités qui empêchent ces attaques, les autorités réagissent, ont-ils déclaré.

Un rapport publié à la fin de l'année dernière par le Bureau de l'Inspecteur général de Porto Rico a révélé des lacunes dans 90 agences gouvernementales locales, 60 % d'entre elles n'ayant pas procédé à des évaluations de vulnérabilité de leurs systèmes informatiques.

Le gouvernement serait en « bien meilleure forme » s'il se concentrait sur la formation des employés et mettait en œuvre des outils tels que l'authentification multifactorielle dès le début, a déclaré Carlos Pérez, expert en cybersécurité à Porto Rico et directeur du renseignement de sécurité chez TrustedSec, une société qui conseille les gouvernements et les entreprises privées.

« Nous combattons les symptômes, mais pas la maladie », a-t-il déclaré.

Dans la plupart des cas, la loi sur la cybersécurité ne suffit pas à exiger des normes uniformes au sein du gouvernement, a déclaré un ancien employé informatique du gouvernement qui ne souhaitait pas être identifié par crainte de répercussions professionnelles. L’absence de normes uniformes a permis aux autorités de décider elles-mêmes de la manière de protéger les données personnelles.

García a expliqué que dans le cadre des mesures de sécurité du CRIM, l'agence utilise des mots de passe, des noms d'utilisateur et des messages texte pour vérifier l'identité. Il a nié que quiconque puisse accéder à la base de données de Catastro Digital sans mot de passe, sauf pour effectuer des recherches individuelles sur le site Web public.

La possibilité d'accéder aux numéros de sécurité sociale via la carte immobilière du CRIM suscite des inquiétudes étant donné le nombre croissant d'entreprises privées vendant des informations immobilières à Porto Rico obtenues à partir de bases de données publiques telles que Catastro Digital. N’importe laquelle de ces sociétés aurait pu accéder aux données, y compris aux informations personnelles.

Au moins trois sociétés d'annonces immobilières contactées par CPI et ProPublica ont déclaré qu'elles n'étaient au courant d'aucune faille de sécurité et n'avaient pas accès aux données sensibles.

#Une #agence #gouvernementale #Porto #Rico #dévoilé #million #numéros #sécurité #sociale #ProPublica