Chronique d’une comparution judiciaire autour de l’injection SQL

Résumé

• Selon la loi sur la liberté d’information (FOIA) de l’Illinois, la plupart des informations détenues par les organismes publics sont communicables, mais la ville de Chicago a rejeté une demande FOIA au motif que le schéma de base de données (schema) pouvait poser un risque de sécurité. Le journaliste de données Matt Chapman a donc intenté une action en justice et, grâce à un témoignage d’expert démontrant qu’un schéma ne constituait pas une menace pour la sécurité, il a gagné en première instance puis en appel, avant de finalement perdre devant la Cour suprême de l’Illinois.
• La Cour suprême a estimé qu’un schéma de base de données relevait de la catégorie de la « disposition des fichiers », et n’était donc pas communicable, ouvrant ainsi la voie à ce que des organismes publics refusent des demandes d’accès en invoquant la structure de leur base de données. Toutefois, un projet de loi (SB0226) a été déposé pour résoudre ce problème ; il prévoit que les organismes publics décrivent la structure de leur base de données afin que les demandeurs puissent solliciter des requêtes de données précises.
• Ce projet de loi constitue une mesure importante pour renforcer la transparence de l’information, et il est nécessaire de contacter les élus locaux pour les exhorter à le faire adopter.

Contexte

• La loi FOIA de l’Illinois est robuste et, dans la plupart des cas, les informations collectées par les organismes publics sont considérées comme un bien public.
• Une demande d’accès peut être faite simplement par e-mail, et la réponse doit légalement être fournie sous 5 jours.
• La principale limite de la FOIA est qu’elle ne peut pas contraindre à créer un nouveau document.
• Un schéma de base de données décrit la structure d’une base de données, et son importance ne cesse de croître à mesure que les informations des organismes publics sont de plus en plus stockées dans des bases de données.

Matt Chapman contre la ville de Chicago

• Matt Chapman est un spécialiste du data journalism qui travaille à partir de demandes FOIA de grande ampleur.
• Le système CANVAS de Chicago est une vaste base de données centralisant les données sur les contraventions de stationnement ; Matt en a demandé le schéma, mais sa demande a été refusée.
• Chicago a rejeté la demande en affirmant que cette divulgation pourrait menacer la sécurité du système, et Matt a intenté un procès en réponse.

Quand je me suis retrouvé à la barre

• Un débat a eu lieu sur la question de savoir si la divulgation d’un schéma de base de données menaçait la sécurité.
• L’injection SQL est l’une des principales méthodes d’attaque contre les bases de données, et la question de savoir si un schéma de base de données pouvait être utilisé dans ce type d’attaque a été discutée.
• J’ai témoigné en insistant sur le fait qu’une attaque par injection SQL ne s’appuie pas sur un schéma de base de données.

Les traces sanglantes laissées par le droit

• La première instance a été remportée, mais Chicago a immédiatement fait appel.
• En appel, il a été souligné qu’il fallait qu’une divulgation présente une probabilité très élevée de menacer la sécurité.
• Finalement, la Cour suprême de l’Illinois a jugé qu’un schéma de base de données pouvait être considéré comme une disposition des fichiers.

Situation actuelle

• Les organismes publics de l’Illinois ont désormais le pouvoir de refuser de divulguer un schéma de base de données.
• Une base de données ne devrait pas devenir un moyen de dissimuler l’information, et le nouveau projet de loi SB0226 pourrait résoudre ce problème.
• Le texte précise que la structure de la base de données doit être décrite de manière suffisamment détaillée pour permettre au demandeur de solliciter une requête spécifique.