Un consultant en informatique en Allemagne a t condamn une amende de 3 000 euros pour avoir dcouvert et signal une vulnrabilit dans la base de donnes dun site de commerce lectronique qui exposait prs de 700 000 donnes clients. La vulnrabilit tait due un mot de passe en clair stock dans le logiciel utilis par le site. Cette dcision a suscit la frustration des experts en scurit qui estiment quelle cre un prcdent inquitant pour la recherche lgitime en matire de scurit.
En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite une plainte de Modern Solution qui affirmait quil naurait pu obtenir le mot de passe que par une connaissance interne – il avait travaill auparavant pour une entreprise lie – et que lentreprise laccusait dtre un concurrent. La justification de cette supposition n’est toutefois pas trs convaincante sur le plan technique.
Le consultant, identifi sous le nom de Hendrik H., travaillait pour un client de la socit de services informatiques Modern Solution GmbH. En juin 2021, il a dcouvert que le logiciel de Modern Solution tablissait une connexion MySQL un serveur de base de donnes MariaDB exploit par le fournisseur. Il sest avr que le mot de passe pour accder ce serveur distant tait stock en clair dans le fichier du programme MSConnect.exe, et quil suffisait de louvrir dans un simple diteur de texte pour rvler le mot de passe en dur.
Avec ce mot de passe facile trouver, nimporte qui pouvait se connecter au serveur distant et accder aux donnes appartenant non seulement ce client de Modern Solution, mais aussi aux donnes de tous les clients du fournisseur stockes sur ce serveur de base de donnes. Ces donnes comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prnoms, les adresses lectroniques, les numros de tlphone, les coordonnes bancaires, les mots de passe et les historiques de conversation et dappel.
Le consultant a fait part de ses dcouvertes dans un rapport du 23 juin 2021 rdig par Mark Steier, qui crit sur le commerce lectronique. Le mme jour, Modern Solution a publi un communiqu PDF – traduit de lallemand – rsumant lincident :
Aujourdhui, le 23 juin 2021 8h09, un hacker thique nous a alerts dune faille de scurit dans notre systme. En raison de cette faille, il tait possible daccder au mot de passe de notre base de donnes et daccder des mots de passe et des donnes personnelles non chiffrs. En utilisant ce mot de passe de base de donnes, le hacker a obtenu un accs externe notre base de donnes et notre systme de billetterie. Nous ne savons pas actuellement dans quelle mesure ces donnes ont t transmises ou utilises par le hacker thique et si dautres accs ont eu lieu. Nous travaillons intensivement lenqute sur lincident.
Le communiqu indique que des donnes sensibles concernant les clients de Modern Solution ont t exposes : noms de famille, prnoms, adresses lectroniques, numros de tlphone, coordonnes bancaires, mots de passe et historiques de conversation et dappel. Mais il affirme que seule une quantit limite de donnes – noms et adresses – concernant les acheteurs qui ont effectu des achats auprs de ces clients de dtail ont t exposes. Steier conteste cette affirmation et affirme que Modern Solution a minimis la gravit des donnes exposes, qui comprenaient selon lui des donnes clients tendues provenant des boutiques en ligne exploites par les clients de Modern Solution.
Donnes de 700 000 clients
Sur les systmes de Modern Solution, les donnes personnelles d’environ 700 000 clients de diffrents commerants en ligne ont pu tre consultes pendant plusieurs annes, en grande partie sans tre scurises. Ces clients avaient fait des achats auprs de petits commerants qui avaient mis leurs produits en vente sur les places de march de grands commerants en ligne comme Otto, Kaufland ou Check24 au moyen d’un logiciel de Modern Solution.
Aprs que le dveloppeur a rendu publique la fuite de donnes en juin, son domicile et son lieu de travail ont t perquisitionns le 15 septembre et l’ensemble de son quipement de travail – un PC, cinq ordinateurs portables, un tlphone mobile et cinq supports de stockage externes – a t saisi.
C’est ce qui a permis aux mdias allemands de conclure cette poque que la plainte et la perquisition qui s’en est suivie ont t ordonnes par Modern Solution en raction directe la publication de la fuite de donnes, l’entreprise expliquant que le dveloppeur n’a pu accder aux donnes que grce des connaissances internes et qu’il est en outre un concurrent.
Selon le dossier d’enqute, des cadres suprieurs de Modern Solution ont dclar la police que le dveloppeur avait travaill auparavant pour la socit JTL Hckelhoven. JTL fabrique les systmes de gestion des marchandises avec lesquels le logiciel de Modern Solution se connecte du ct du dtaillant. La relation de travail du programmeur chez JTL avait alors pris fin suite des conflits. L’accus a confirm son emploi chez JTL aux mdias allemands et n’a pas ni avoir eu des problmes lors de son passage dans l’entreprise.
Une version qui n’a jamais vraiment t publiquement conteste
Modern Solution est, selon ses propres dires, spcialise dans l’installation et l’hbergement de ces systmes WaWi de JTL. Les reprsentants de Modern Solution ont dclar la police que le dveloppeur avait russi, grce ses connaissances internes acquises chez JTL, obtenir le mot de passe qui lui avait permis d’accder aux donnes de Modern Solution.
En juin 2021, l’expert en informatique a dcouvert, selon ses propres dires, lors du dpannage d’un client de Modern Solution, que l’change de donnes du logiciel de Modern Solution se faisait via une connexion SQL visible en texte clair et que les donnes d’accs taient solidement ancres dans le logiciel. Ainsi, quiconque pouvait obtenir une copie du logiciel, en principe librement disponible, avait accs aux donnes de tous les clients dont les achats taient effectus via les systmes de Modern Solution. Le blogueur Mark Steier a expliqu dans un article du 23 juin 2021 comment cela fonctionnait exactement.
Modern Solution n’a jamais contest publiquement cette version des faits. Face la police, des collaborateurs de haut rang de l’entreprise de Gelsenkirchen ont toutefois argument que le dveloppeur n’avait pu avoir accs ce mot de passe que parce qu’il avait travaill auparavant pour JTL. En outre, selon le dossier, l’entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chanes de mots de passe. Si l’on suit cette interprtation, le fait de passer outre cette prtendue mesure de protection pourrait entraner une infraction pnale.
Quoiqu’il en soit, le consultant a t poursuivi pour accs illicite aux donnes en vertu du droit allemand. Hendrik H. a t accus d’accs illgal des donnes en vertu de l’article 202a du code pnal allemand, sur la base de la rgle selon laquelle l’examen de donnes protges par un mot de passe peut tre considr comme un dlit en vertu de la loi sur la cyberscurit de l’Union europenne.
Des dcisions qui pourraient avoir des impacts sur les lanceurs d’alerte
En juin 2023, le tribunal de premire instance de Jlich, dans l’ouest de l’Allemagne, a donn raison au consultant en informatique, estimant que le logiciel Modern Solution n’tait pas suffisamment protg. Mais le tribunal rgional d’Aix-la-Chapelle a ordonn au tribunal de district d’instruire la plainte. Plus tt ce mois-ci, le tribunal de district est revenu sur sa dcision initiale. Le 17 janvier, le tribunal d’instance de Jlich a condamn Hendrik H. une amende et aux frais de justice.
Dans un billet publi mercredi, Steier, le blogueur qui a contribu mettre au jour la base de donnes expose, a crit :
Sans beaucoup d’efforts et de connaissances, il tait possible n’importe quel profane instruit d’accder la base de donnes de Modern Solution contenant plus de 700.000 donnes clients. L’ordonnance pnale est d’autant plus choquante qu’elle est fondamentalement fausse. Un mot de passe qui a t enregistr presque en texte clair ne constitue pas une « scurit particulire », ce qu’exige pourtant le 202. Il est comprhensible qu’un juge ne puisse pas valuer cela, mais un expert aurait alors d tre entendu sur cette question. Malheureusement, cela n’a pas t fait.
Selon les rapports, le verdict n’est pas encore juridiquement contraignant car les deux parties ont une semaine pour faire appel, ce que le consultant en informatique aurait l’intention de faire.
Dans un message publi sur Mastodon, Wladimir Palant, chercheur en scurit, dveloppeur de logiciels et cofondateur d’eyeo, une entreprise allemande spcialise dans le filtrage des publicits, a exprim sa frustration face la dcision du tribunal.
J’espre vraiment qu’il y aura une dcision de la prochaine instance qui renversera nouveau cette dcision , a crit Palant. Mais c’est exactement ce que les gens craignaient : quelle que soit la faille de la protection suppose, sa simple existence transforme la recherche sur la scurit en piratage criminel en vertu de la loi allemande. Cela a un effet dissuasif sur la recherche lgitime, permettant aux entreprises de s’en tirer avec une scurit inadquate et, en fin de compte, de mettre en danger les utilisateurs.
Pour Steier :
Tout « hacker thique » qui dcouvre des fuites de donnes et les signale aux entreprises concernes doit s’attendre une plainte et des poursuites pnales. Cela ne devrait pas tre le cas, car si un lanceur d’alerte signale des failles de scurit, il aide. Une sanction en bonne et due forme aurait t mrite par la socit Modern Solution, qui n’a pas t en mesure de dvelopper de manire professionnelle et qui a ensuite trait la fuite de donnes de manire non professionnelle.
Sources : Mark Steier, code pnal allemand relatif l’espionnage des donnes, section 202a, notification d’une violation de la protection des donnes (Modern Solution)
Et vous ?
Que pensez-vous de la dcision du tribunal rgional de condamner le consultant une amende ?
Pensez-vous que le consultant a agi de manire thique en signalant la vulnrabilit au public ?
Quelles sont les consquences potentielles de lexposition des donnes personnelles des clients des boutiques en ligne ?
Quelles mesures devraient tre prises pour renforcer la scurit des bases de donnes et des logiciels utiliss par les sites de commerce lectronique ?
Comment les chercheurs en scurit peuvent-ils viter dtre poursuivis en justice pour avoir dcouvert et signal des failles de scurit ?