
Repérer un mot de passe en clair et l'utiliser sans autorisation dans le cadre d'une recherche devrait-il être considéré comme un délit ?
Un consultant en informatique en Allemagne a été condamné à une amende de 3 000 euros pour avoir découvert et signalé une vulnérabilité dans la base de données d’un site de commerce électronique qui exposait près de 700 000 données clients. La vulnérabilité était due à un mot de passe en clair stocké dans le logiciel utilisé par le site. Cette décision a suscité la frustration des experts en sécurité qui estiment qu’elle crée un précédent inquiétant pour la recherche légitime en matière de sécurité.
En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite à une plainte de Modern Solution qui affirmait qu’il n’aurait pu obtenir le mot de passe que par une connaissance interne - il avait travaillé auparavant pour une entreprise liée - et que l’entreprise l’accusait d’être un concurrent. La justification de cette supposition n'est toutefois pas très convaincante sur le plan technique.
Le consultant, identifié sous le nom de Hendrik H., travaillait pour un client de la société de services informatiques Modern Solution GmbH. En juin 2021, il a découvert que le logiciel de Modern Solution établissait une connexion MySQL à un serveur de base de données MariaDB exploité par le fournisseur. Il s’est avéré que le mot de passe pour accéder à ce serveur distant était stocké en clair dans le fichier du programme MSConnect.exe, et qu’il suffisait de l’ouvrir dans un simple éditeur de texte pour révéler le mot de passe en dur.
Avec ce mot de passe facile à trouver, n’importe qui pouvait se connecter au serveur distant et accéder aux données appartenant non seulement à ce client de Modern Solution, mais aussi aux données de tous les clients du fournisseur stockées sur ce serveur de base de données. Ces données comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prénoms, les adresses électroniques, les numéros de téléphone, les coordonnées bancaires, les mots de passe et les historiques de conversation et d’appel.
Le consultant a fait part de ses découvertes dans un rapport du 23 juin 2021 rédigé par Mark Steier, qui écrit sur le commerce électronique. Le même jour, Modern Solution a publié un communiqué PDF - traduit de l’allemand - résumant l’incident :
Aujourd’hui, le 23 juin 2021 à 8h09, un ‘hacker éthique’ nous a alertés d’une faille de sécurité dans notre système. En raison de cette faille, il était possible d’accéder au mot de passe de notre base de données et d’accéder à des mots de passe et des données personnelles non chiffrés. En utilisant ce mot de passe de base de données, le hacker a obtenu un accès externe à notre base de données et à notre système de billetterie. Nous ne savons pas actuellement dans quelle mesure ces données ont été transmises ou utilisées par le ‘hacker éthique’ et si d’autres accès ont eu lieu. Nous travaillons intensivement à l’enquête sur l’incident.
Données de 700 000 clients
Sur les systèmes de Modern Solution, les données personnelles d'environ 700 000 clients de différents commerçants en ligne ont pu être consultées pendant plusieurs années, en grande partie sans être sécurisées. Ces clients avaient fait des achats auprès de petits commerçants qui avaient mis leurs produits en vente sur les places de marché de grands commerçants en ligne comme Otto, Kaufland ou Check24 au moyen d'un logiciel de Modern Solution.
Après que le développeur a rendu publique la fuite de données en juin, son domicile et son lieu de travail ont été perquisitionnés le 15 septembre et l'ensemble de son équipement de travail - un PC, cinq ordinateurs portables, un téléphone mobile et cinq supports de stockage externes - a été saisi.
C'est ce qui a permis aux médias allemands de conclure à cette époque que la plainte et la perquisition qui s'en est suivie ont été ordonnées par Modern Solution en réaction directe à la publication de la fuite de données, l'entreprise expliquant que le développeur n'a pu accéder aux données que grâce à des connaissances internes et qu'il est en outre un concurrent.
Selon le dossier d'enquête, des cadres supérieurs de Modern Solution ont déclaré à la police que le développeur avait travaillé auparavant pour la société JTL à Hückelhoven. JTL fabrique les systèmes de gestion des marchandises avec lesquels le logiciel de Modern Solution se connecte du côté du détaillant. La relation de travail du programmeur chez JTL avait alors pris fin suite à des conflits. L'accusé a confirmé son emploi chez JTL aux médias allemands et n'a pas nié avoir eu des « problèmes » lors de son passage dans l'entreprise.
Une version qui n'a jamais vraiment été publiquement contestée
Modern Solution est, selon ses propres dires, spécialisée dans l'installation et l'hébergement de ces systèmes WaWi de JTL. Les représentants de Modern Solution ont déclaré à la police que le développeur avait réussi, grâce à ses connaissances internes acquises chez JTL, à obtenir le mot de passe qui lui avait permis d'accéder aux données de Modern Solution.
En juin 2021, l'expert en informatique a découvert, selon ses propres dires, lors du dépannage d'un client de Modern Solution, que l'échange de données du logiciel de Modern Solution se faisait via une connexion SQL visible en texte clair et que les données d'accès étaient solidement ancrées dans le logiciel. Ainsi, quiconque pouvait obtenir une copie du logiciel, en principe librement disponible, avait accès aux données de tous les clients dont les achats étaient effectués via les systèmes de Modern Solution. Le blogueur Mark Steier a expliqué dans un article du 23 juin 2021 comment cela fonctionnait exactement.
Modern Solution n'a jamais contesté publiquement cette version des faits. Face à la police, des collaborateurs de haut rang de l'entreprise de Gelsenkirchen ont toutefois argumenté que le développeur n'avait pu avoir accès à ce mot de passe que parce qu'il avait travaillé auparavant pour JTL. En outre, selon le dossier, l'entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe. Si l'on suit cette interprétation, le fait de passer outre cette prétendue mesure de protection pourrait entraîner une infraction pénale.
Quoiqu'il en soit, le consultant a été poursuivi pour accès illicite aux données en vertu du droit allemand. Hendrik H. a été accusé d'accès illégal à des données en vertu de l'article 202a du code pénal allemand, sur la base de la règle selon laquelle l'examen de données protégées par un mot de passe peut être considéré comme un délit en vertu de la loi sur la cybersécurité de l'Union européenne.
Des décisions qui pourraient avoir des impacts sur les lanceurs d'alerte
En juin 2023, le tribunal de première instance de Jülich, dans l'ouest de l'Allemagne, a donné raison au consultant en informatique, estimant que le logiciel Modern Solution n'était pas suffisamment protégé. Mais le tribunal régional d'Aix-la-Chapelle a ordonné au tribunal de district d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.