Repérer un MdP en clair et l’utiliser dans une recherche devrait-il être considéré comme un délit ?
Un consultant en informatique en Allemagne a été condamné à une amende de 3 000 euros pour avoir découvert et signalé une vulnérabilité dans la base de données d’un site de commerce électronique qui exposait près de 700 000 données clients. La vulnérabilité était due à un mot de passe en clair stocké dans le logiciel utilisé par le site. Cette décision a suscité la frustration des experts en sécurité qui estiment qu’elle crée un précédent inquiétant pour la recherche légitime en matière de sécurité.
En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite à une plainte de Modern Solution qui affirmait qu’il n’aurait pu obtenir le mot de passe que par une connaissance interne – il avait travaillé auparavant pour une entreprise liée – et que l’entreprise l’accusait d’être un concurrent. La justification de cette supposition n’est toutefois pas très convaincante sur le plan technique.
Le consultant, identifié sous le nom de Hendrik H., travaillait pour un client de la société de services informatiques Modern Solution GmbH. En juin 2021, il a découvert que le logiciel de Modern Solution établissait une connexion MySQL à un serveur de base de données MariaDB exploité par le fournisseur. Il s’est avéré que le mot de passe pour accéder à ce serveur distant était stocké en clair dans le fichier du programme MSConnect.exe, et qu’il suffisait de l’ouvrir dans un simple éditeur de texte pour révéler le mot de passe en dur.
Avec ce mot de passe facile à trouver, n’importe qui pouvait se connecter au serveur distant et accéder aux données appartenant non seulement à ce client de Modern Solution, mais aussi aux données de tous les clients du fournisseur stockées sur ce serveur de base de données. Ces données comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prénoms, les adresses électroniques, les numéros de téléphone, les coordonnées bancaires, les mots de passe et les historiques de conversation et d’appel.
Le consultant a fait part de ses découvertes dans un rapport du 23 juin 2021 rédigé par Mark Steier, qui écrit sur le commerce électronique. Le même jour, Modern Solution a publié un communiqué PDF – traduit de l’allemand – résumant l’incident :
Aujourd’hui, le 23 juin 2021 à 8h09, un ‘hacker éthique’ nous a alertés d’une faille de sécurité dans notre système. En raison de cette faille, il était possible d’accéder au mot de passe de notre base de données et d’accéder à des mots de passe et des données personnelles non chiffrés. En utilisant ce mot de passe de base de données, le hacker a obtenu un accès externe à notre base de données et à notre système de billetterie. Nous ne savons pas actuellement dans quelle mesure ces données ont été transmises ou utilisées par le ‘hacker éthique’ et si d’autres accès ont eu lieu. Nous travaillons intensivement à l’enquête sur l’incident.
Le communiqué indique que des données sensibles concernant les clients de Modern Solution ont été exposées : noms de famille, prénoms, adresses électroniques, numéros de téléphone, coordonnées bancaires, mots de passe et historiques de conversation et d’appel. Mais il affirme que seule une quantité limitée de données – noms et adresses – concernant les acheteurs qui ont effectué des achats auprès de ces clients de détail ont été exposées. Steier conteste cette affirmation et affirme que Modern Solution a minimisé la gravité des données exposées, qui comprenaient selon lui des données clients étendues provenant des boutiques en ligne exploitées par les clients de Modern Solution.
Données de 700 000 clients
Sur les systèmes de Modern Solution, les données personnelles d’environ 700 000 clients de différents commerçants en ligne ont pu être consultées pendant plusieurs années, en grande partie sans être sécurisées. Ces clients avaient fait des achats auprès de petits commerçants qui avaient mis leurs produits en vente sur les places de marché de grands commerçants en ligne comme Otto, Kaufland ou Check24 au moyen d’un logiciel de Modern Solution.
Après que le développeur a rendu publique la fuite de données en juin, son domicile et son lieu de travail ont été perquisitionnés le 15 septembre et l’ensemble de son équipement de travail – un PC, cinq ordinateurs portables, un téléphone mobile et cinq supports de stockage externes – a été saisi.
C’est ce qui a permis aux médias allemands de conclure à cette époque que la plainte et la perquisition qui s’en est suivie ont été ordonnées par Modern Solution en réaction directe à la publication de la fuite de données, l’entreprise expliquant que le développeur n’a pu accéder aux données que grâce à des connaissances internes et qu’il est en outre un concurrent.
Selon le dossier d’enquête, des cadres supérieurs de Modern Solution ont déclaré à la police que le développeur avait travaillé auparavant pour la société JTL à Hückelhoven. JTL fabrique les systèmes de gestion des marchandises avec lesquels le logiciel de Modern Solution se connecte du côté du détaillant. La relation de travail du programmeur chez JTL avait alors pris fin suite à des conflits. L’accusé a confirmé son emploi chez JTL aux médias allemands et n’a pas nié avoir eu des « problèmes » lors de son passage dans l’entreprise.
Une version qui n’a jamais vraiment été publiquement contestée
Modern Solution est, selon ses propres dires, spécialisée dans l’installation et l’hébergement de ces systèmes WaWi de JTL. Les représentants de Modern Solution ont déclaré à la police que le développeur avait réussi, grâce à ses connaissances internes acquises chez JTL, à obtenir le mot de passe qui lui avait permis d’accéder aux données de Modern Solution.
En juin 2021, l’expert en informatique a découvert, selon ses propres dires, lors du dépannage d’un client de Modern Solution, que l’échange de données du logiciel de Modern Solution se faisait via une connexion SQL visible en texte clair et que les données d’accès étaient solidement ancrées dans le logiciel. Ainsi, quiconque pouvait obtenir une copie du logiciel, en principe librement disponible, avait accès aux données de tous les clients dont les achats étaient effectués via les systèmes de Modern Solution. Le blogueur Mark Steier a expliqué dans un article du 23 juin 2021 comment cela fonctionnait exactement.
Modern Solution n’a jamais contesté publiquement cette version des faits. Face à la police, des collaborateurs de haut rang de l’entreprise de Gelsenkirchen ont toutefois argumenté que le développeur n’avait pu avoir accès à ce mot de passe que parce qu’il avait travaillé auparavant pour JTL. En outre, selon le dossier, l’entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe. Si l’on suit cette interprétation, le fait de passer outre cette prétendue mesure de protection pourrait entraîner une infraction pénale.
Quoiqu’il en soit, le consultant a été poursuivi pour accès illicite aux données en vertu du droit allemand. Hendrik H. a été accusé d’accès illégal à des données en vertu de l’article 202a du code pénal allemand, sur la base de la règle selon laquelle l’examen de données protégées par un mot de passe peut être considéré comme un délit en vertu de la loi sur la cybersécurité de l’Union européenne.
Des décisions qui pourraient avoir des impacts sur les lanceurs d’alerte
En juin 2023, le tribunal de première instance de Jülich, dans l’ouest de l’Allemagne, a donné raison au consultant en informatique, estimant que le logiciel Modern Solution n’était pas suffisamment protégé. Mais le tribunal régional d’Aix-la-Chapelle a ordonné au tribunal de district d’instruire la plainte. Plus tôt ce mois-ci, le tribunal de district est revenu sur sa décision initiale. Le 17 janvier, le tribunal d’instance de Jülich a condamné Hendrik H. à une amende et aux frais de justice.
Dans un billet publié mercredi, Steier, le blogueur qui a contribué à mettre au jour la base de données exposée, a écrit :
Sans beaucoup d’efforts et de connaissances, il était possible à n’importe quel profane instruit d’accéder à la base de données de Modern Solution contenant plus de 700.000 données clients. L’ordonnance pénale est d’autant plus choquante qu’elle est fondamentalement fausse. Un mot de passe qui a été enregistré presque en texte clair ne constitue pas une “sécurité particulière”, ce qu’exige pourtant le §202. Il est compréhensible qu’un juge ne puisse pas évaluer cela, mais un expert aurait alors dû être entendu sur cette question. Malheureusement, cela n’a pas été fait.Selon les rapports, le verdict n’est pas encore juridiquement contraignant car les deux parties ont une semaine pour faire appel, ce que le consultant en informatique aurait l’intention de faire.
Dans un message publié sur Mastodon, Wladimir Palant, chercheur en sécurité, développeur de logiciels et cofondateur d’eyeo, une entreprise allemande spécialisée dans le filtrage des publicités, a exprimé sa frustration face à la décision du tribunal.
« J’espère vraiment qu’il y aura une décision de la prochaine instance qui renversera à nouveau cette décision », a écrit Palant. Mais c’est exactement ce que les gens craignaient : quelle que soit la faille de la « protection » supposée, sa simple existence transforme la recherche sur la sécurité en piratage criminel en vertu de la loi allemande. Cela a un effet dissuasif sur la recherche légitime, permettant aux entreprises de s’en tirer avec une sécurité inadéquate et, en fin de compte, de mettre en danger les utilisateurs.
Pour Steier :
Tout "hacker éthique" qui découvre des fuites de données et les signale aux entreprises concernées doit s'attendre à une plainte et à des poursuites pénales. Cela ne devrait pas être le cas, car si un lanceur d'alerte signale des failles de sécurité, il aide. Une sanction en bonne et due forme aurait été méritée par la société Modern Solution, qui n'a pas été en mesure de développer de manière professionnelle et qui a ensuite traité la fuite de données de manière non professionnelle.
source : developez