IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un consultant IT allemand condamné à une amende pour avoir dénoncé une sécurité déficiente
Repérer un MdP en clair et l'utiliser dans une recherche devrait-il être considéré comme un délit ?

Le , par Stéphane le calme

9PARTAGES

26  0 
Un consultant en informatique allemand condamné à une amende pour avoir dénoncé une sécurité déficiente,
Repérer un mot de passe en clair et l'utiliser sans autorisation dans le cadre d'une recherche devrait-il être considéré comme un délit ?

Un consultant en informatique en Allemagne a été condamné à une amende de 3 000 euros pour avoir découvert et signalé une vulnérabilité dans la base de données d’un site de commerce électronique qui exposait près de 700 000 données clients. La vulnérabilité était due à un mot de passe en clair stocké dans le logiciel utilisé par le site. Cette décision a suscité la frustration des experts en sécurité qui estiment qu’elle crée un précédent inquiétant pour la recherche légitime en matière de sécurité.

En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite à une plainte de Modern Solution qui affirmait qu’il n’aurait pu obtenir le mot de passe que par une connaissance interne - il avait travaillé auparavant pour une entreprise liée - et que l’entreprise l’accusait d’être un concurrent. La justification de cette supposition n'est toutefois pas très convaincante sur le plan technique.


Le consultant, identifié sous le nom de Hendrik H., travaillait pour un client de la société de services informatiques Modern Solution GmbH. En juin 2021, il a découvert que le logiciel de Modern Solution établissait une connexion MySQL à un serveur de base de données MariaDB exploité par le fournisseur. Il s’est avéré que le mot de passe pour accéder à ce serveur distant était stocké en clair dans le fichier du programme MSConnect.exe, et qu’il suffisait de l’ouvrir dans un simple éditeur de texte pour révéler le mot de passe en dur.

Avec ce mot de passe facile à trouver, n’importe qui pouvait se connecter au serveur distant et accéder aux données appartenant non seulement à ce client de Modern Solution, mais aussi aux données de tous les clients du fournisseur stockées sur ce serveur de base de données. Ces données comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prénoms, les adresses électroniques, les numéros de téléphone, les coordonnées bancaires, les mots de passe et les historiques de conversation et d’appel.

Le consultant a fait part de ses découvertes dans un rapport du 23 juin 2021 rédigé par Mark Steier, qui écrit sur le commerce électronique. Le même jour, Modern Solution a publié un communiqué PDF - traduit de l’allemand - résumant l’incident :

Aujourd’hui, le 23 juin 2021 à 8h09, un ‘hacker éthique’ nous a alertés d’une faille de sécurité dans notre système. En raison de cette faille, il était possible d’accéder au mot de passe de notre base de données et d’accéder à des mots de passe et des données personnelles non chiffrés. En utilisant ce mot de passe de base de données, le hacker a obtenu un accès externe à notre base de données et à notre système de billetterie. Nous ne savons pas actuellement dans quelle mesure ces données ont été transmises ou utilisées par le ‘hacker éthique’ et si d’autres accès ont eu lieu. Nous travaillons intensivement à l’enquête sur l’incident.
Le communiqué indique que des données sensibles concernant les clients de Modern Solution ont été exposées : noms de famille, prénoms, adresses électroniques, numéros de téléphone, coordonnées bancaires, mots de passe et historiques de conversation et d’appel. Mais il affirme que seule une quantité limitée de données - noms et adresses - concernant les acheteurs qui ont effectué des achats auprès de ces clients de détail ont été exposées. Steier conteste cette affirmation et affirme que Modern Solution a minimisé la gravité des données exposées, qui comprenaient selon lui des données clients étendues provenant des boutiques en ligne exploitées par les clients de Modern Solution.


Données de 700 000 clients

Sur les systèmes de Modern Solution, les données personnelles d'environ 700 000 clients de différents commerçants en ligne ont pu être consultées pendant plusieurs années, en grande partie sans être sécurisées. Ces clients avaient fait des achats auprès de petits commerçants qui avaient mis leurs produits en vente sur les places de marché de grands commerçants en ligne comme Otto, Kaufland ou Check24 au moyen d'un logiciel de Modern Solution.

Après que le développeur a rendu publique la fuite de données en juin, son domicile et son lieu de travail ont été perquisitionnés le 15 septembre et l'ensemble de son équipement de travail - un PC, cinq ordinateurs portables, un téléphone mobile et cinq supports de stockage externes - a été saisi.

C'est ce qui a permis aux médias allemands de conclure à cette époque que la plainte et la perquisition qui s'en est suivie ont été ordonnées par Modern Solution en réaction directe à la publication de la fuite de données, l'entreprise expliquant que le développeur n'a pu accéder aux données que grâce à des connaissances internes et qu'il est en outre un concurrent.

Selon le dossier d'enquête, des cadres supérieurs de Modern Solution ont déclaré à la police que le développeur avait travaillé auparavant pour la société JTL à Hückelhoven. JTL fabrique les systèmes de gestion des marchandises avec lesquels le logiciel de Modern Solution se connecte du côté du détaillant. La relation de travail du programmeur chez JTL avait alors pris fin suite à des conflits. L'accusé a confirmé son emploi chez JTL aux médias allemands et n'a pas nié avoir eu des « problèmes » lors de son passage dans l'entreprise.

Une version qui n'a jamais vraiment été publiquement contestée

Modern Solution est, selon ses propres dires, spécialisée dans l'installation et l'hébergement de ces systèmes WaWi de JTL. Les représentants de Modern Solution ont déclaré à la police que le développeur avait réussi, grâce à ses connaissances internes acquises chez JTL, à obtenir le mot de passe qui lui avait permis d'accéder aux données de Modern Solution.

En juin 2021, l'expert en informatique a découvert, selon ses propres dires, lors du dépannage d'un client de Modern Solution, que l'échange de données du logiciel de Modern Solution se faisait via une connexion SQL visible en texte clair et que les données d'accès étaient solidement ancrées dans le logiciel. Ainsi, quiconque pouvait obtenir une copie du logiciel, en principe librement disponible, avait accès aux données de tous les clients dont les achats étaient effectués via les systèmes de Modern Solution. Le blogueur Mark Steier a expliqué dans un article du 23 juin 2021 comment cela fonctionnait exactement.

Modern Solution n'a jamais contesté publiquement cette version des faits. Face à la police, des collaborateurs de haut rang de l'entreprise de Gelsenkirchen ont toutefois argumenté que le développeur n'avait pu avoir accès à ce mot de passe que parce qu'il avait travaillé auparavant pour JTL. En outre, selon le dossier, l'entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe. Si l'on suit cette interprétation, le fait de passer outre cette prétendue mesure de protection pourrait entraîner une infraction pénale.

Quoiqu'il en soit, le consultant a été poursuivi pour accès illicite aux données en vertu du droit allemand. Hendrik H. a été accusé d'accès illégal à des données en vertu de l'article 202a du code pénal allemand, sur la base de la règle selon laquelle l'examen de données protégées par un mot de passe peut être considéré comme un délit en vertu de la loi sur la cybersécurité de l'Union européenne.


Des décisions qui pourraient avoir des impacts sur les lanceurs d'alerte

En juin 2023, le tribunal de première instance de Jülich, dans l'ouest de l'Allemagne, a donné raison au consultant en informatique, estimant que le logiciel Modern Solution n'était pas suffisamment protégé. Mais le tribunal régional d'Aix-la-Chapelle a ordonné au tribunal de district d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de marsupial
Expert éminent https://www.developpez.com
Le 23/01/2024 à 7:14
Le hacker aurait dû contacter l'entreprise plutôt que de publier. Mais y avait-il un moyen de contact simple ou une procédure pour signaler une faille de sécurité ? Ou a-t-il été écouté en tant que prestataire ? Toujours est-il qu'un login/mdp dans un code est une pratique à proscrire et je fais des bonds quand je lis ça. Surtout un code en accès libre. L'article ne mentionne pas si la faille a été corrigée. Mais avec une telle faille, pas besoin de connaissances particulières pour pirater une BDD : suffit d'être un peu curieux.
5  0 
Avatar de unanonyme
Membre éclairé https://www.developpez.com
Le 23/01/2024 à 9:18
Bonjour,

l'entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe
ça fait tousser.

Bonne journée.
4  0 
Avatar de archqt
Membre émérite https://www.developpez.com
Le 23/01/2024 à 17:57
Il faudrait boycotter cette entreprise. Cela me rappelle l'ingénieur qui avait trouvé une faille sur le paiement des bornes de la RATP. Une fois qu'il a montré comment faire ils l'ont attaqué en justice, alors qu'il demandait une compensation (peut être en son tord) pour sa trouvaille. C'est à rendre malhonnête un hacker éthique.
4  0 
Avatar de Escapetiger
Expert éminent sénior https://www.developpez.com
Le 23/01/2024 à 22:55
Citation Envoyé par archqt Voir le message
Il faudrait boycotter cette entreprise. Cela me rappelle l'ingénieur qui avait trouvé une faille sur le paiement des bornes de la RATP. Une fois qu'il a montré comment faire ils l'ont attaqué en justice, alors qu'il demandait une compensation (peut être en son tord) pour sa trouvaille. C'est à rendre malhonnête un hacker éthique.
Serge Humpich ? (~ 1997 - 1998)

« Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant onze carnets de tickets de métro, assortis de dix facturettes, au moyen de dix cartes de sa fabrication à partir de distributeurs automatiques disposés dans les stations Balard et Charles Michels. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue. »

Source: Serge Humpich — Wikipédia
2  0 
Avatar de e-ric
Membre expert https://www.developpez.com
Le 23/01/2024 à 16:29
Salut

pour faire suite à unanonyme, il faudra juste que les pirates soient prévenus de cette protection innovante pour les dissuader de l'exploiter, lol.
1  0