Les «déficiences» qui ont brisé le système de commentaires de la FCC dans le combat pour la neutralité du net détaillées par GAO

Aujourd’hui marque la fin d’une longue saga qui a commencé lorsque John Oliver a fait un segment sur Net Neutrality qui était si populaire qu’il a mis à genoux le système de commentaires de la FCC. Deux ans plus tard, il est enfin sur le point de résoudre tous les problèmes soulevés lors d’une enquête du General Accountability Office.

Le rapport couvre de nombreux problèmes de cybersécurité et d’informatique, dont certains FCC traitées rapidement, certaines pas si rapidement et d’autres sur lesquelles il travaille encore.

« Le rapport GAO d’aujourd’hui montre clairement ce que nous savions depuis le début: le système de collecte des contributions du public de la FCC a des problèmes », a déclaré la commissaire Jessica Rosenworcel. a déclaré TechCrunch. «L’agence doit réparer complètement ce gâchis, car c’est ainsi que la FCC est censée recueillir les commentaires du public. Mais comme le démontre ce rapport, nous avons un vrai travail à faire. »

Voici la chronologie de base des événements, qui semblent si lointains maintenant:

  • Mai 2017: Le segment de John Oliver est diffusé, et le lendemain, la FCC affirme avoir été frappée par des attaques par déni de service qui ont détruit son système de commentaires, ECFS. (En fait, c’était simplement le volume de personnes qui souhaitaient partager leur opinion sur le plan de la FCC de tuer la neutralité du Net.)
  • Juillet 2017: Malgré les appels aux détails, la FCC refuse de divulguer des détails sur la cyberattaque, malgré les demandes du Congrès, affirmant que la menace était « en cours ». (Ses enquêtes n’avaient en fait pas déterminé l’intention malveillante et son compte officiel était douteux en interne depuis le début.)
  • Août 2017: Le Congrès appelle à une enquête indépendante sur les allégations de la FCC et son système de commentaires. (C’est le rapport rendu public aujourd’hui. Également à cette époque, un autre «piratage» improbable s’est produit (pas) en 2014.)
  • Octobre 2017: David Bray, directeur de l’information de la FCC, qui a affirmé que les attaques avaient eu lieu en 2017 et en 2014, quitte la FCC.
  • Décembre 2017: La FCC vote selon les lignes du parti pour tuer la neutralité du net.
  • Juin 2018: Un groupe de surveillance acquiert 1300 pages d’e-mails, ce qui (bien que très expurgé) montre que les affirmations DDoS étaient essentiellement fausses et connues pour l’être.
  • Août 2018: La FCC admet enfin qu’il n’a jamais été piraté, et le lendemain, son propre rapport interne sort montrant qu’il s’agissait vraiment d’un intérêt écrasant de la part de personnes souhaitant être entendues. Les membres du Congrès accusent le président Ajit Pai de «manquement au devoir» en perpétuant ce récit dangereusement incorrect.

Ensuite, cela a été plutôt calme jusqu’à aujourd’hui, lorsque le rapport demandé en 2017 a été rendu public. Une version contenant des informations sensibles (comme les configurations logicielles exactes et d’autres informations techniques) a été diffusée en interne en septembre, puis révisée pour la sortie d’aujourd’hui.

Le rapport final n’est pas une bombe, car une grande partie a été télégraphié à l’avance. Il s’agit d’un ensemble de critiques d’un système obsolète avec une sécurité inadéquate et d’autres défaillances qui auraient pu être dirigées contre pratiquement n’importe quelle agence fédérale, parmi lesquelles les pratiques de cybersécurité sont notoirement médiocres.

Une enquête du gouvernement révèle que les agences fédérales échouent aux principes de base de la cybersécurité

L’enquête indique que la FCC, par exemple, n’a pas systématiquement mis en œuvre des contrôles de sécurité et d’accès, chiffré des données sensibles, mis à jour ou configuré correctement ses serveurs, détecté ou enregistré des événements de cybersécurité, etc. Ce n’était pas toujours un désastre (même les services informatiques bien gérés ne suivent pas toujours les meilleures pratiques), mais de toute évidence, certaines de ces lacunes et de ces virages ont entraîné de graves problèmes comme ECFS.

Plus important encore, sur les 136 recommandations formulées dans le rapport de septembre, 85 ont été pleinement mises en œuvre maintenant, 10 partiellement, et les autres sont en voie de l’être.

Cela ne doit pas être interprété comme signifiant que la FCC a attendu tout ce temps pour mettre à jour ses systèmes de commentaires et autres. En fait, il apportait des améliorations presque immédiatement après l’événement en mai 2017, mais a refusé de les décrire. Voici quelques-unes des améliorations répertoriées dans le rapport GAO:

Le représentant Frank Pallone (D-NJ), qui a poursuivi la FCC sur cette question depuis le début, a publié la déclaration suivante:

J’ai demandé ce rapport car il était clair, après la débâcle de la période d’abrogation de la neutralité du net, que les pratiques de FCC en matière de cybersécurité avaient échoué. Après plus de deux ans d’enquête, le GAO est d’accord et a constaté un inquiétant manque de sécurité qui met en danger les systèmes d’information de la Commission … Jusqu’à ce que la FCC mette en œuvre toutes les recommandations restantes, ses systèmes resteront vulnérables aux défaillances et aux abus.

Vous pouvez lire le rapport final du GAO ici.

Commission Impossible: comment et pourquoi la FCC a créé la neutralité du net

Traduit de l’anglais de https://techcrunch.com/2020/04/24/deficiencies-that-broke-fcc-commenting-system-in-net-neutrality-fight-detailed-by-gao/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.