Un cas de déjà vu ? Un tribunal allemand a accusé un programmeur de piratage informatique et lui a infligé une amende de 3 000 euros pour accès non autorisé à des systèmes informatiques externes et espionnage de données. Selon les informations publiées par Heise, le programmeur est un prestataire de services informatiques indépendant (freelance). Il a été initialement chargé par un client de résoudre le problème du trop grand nombre de journaux générés par le logiciel de gestion de produits utilisé par le client.

Après avoir reçu la tâche, le programmeur a vérifié le logiciel et a constaté qu'il avait établi une connexion MySQL avec le serveur distant de Modern Solution GmbH, un fournisseur de logiciels de gestion. Le programmeur s'est donc connecté à la base de données distante pour analyse et a découvert que la base de données contenait des données sur près de 700 000 clients de Modern Solution.

Après avoir pris conscience d'un problème de sécurité avec le fournisseur de logiciels, le programmeur s'est déconnecté de la base de données et a ensuite contacté ModernSolution via d'autres canaux pour signaler le problème.

Pour cette raison, ModernSolution a immédiatement mis tous les serveurs hors ligne pour réparation le jour où il en a été informé. Cependant, la société a fermement nié l'existence de problèmes de sécurité dans son système, et ce programmeur intègre a directement publié des informations publiques affirmant que ModernSolution avait des problèmes de sécurité.

L'éditeur du logiciel a ensuite appelé la police, affirmant que le programmeur avait eu un accès non autorisé aux données exposées et à son serveur de base de données.

Utilisez également du texte clair pour stocker le mot de passe :

À en juger par la description du programmeur poursuivi en justice, Modern Solution est un fournisseur de logiciels très faible. Pourquoi tu dis ça ? Parce que cette société a codé en dur le mot de passe de connexion à la base de données en texte clair dans un fichier exécutable.

Ce qui est encore plus effrayant, c'est que les données de centaines de milliers de leurs clients sont toutes stockées sur le même serveur de base de données, en utilisant le même numéro de compte et le même mot de passe, et ce fichier exécutable contenant le mot de passe en texte clair est inclus dans le logiciel de gestion qu'ils fournissent aux clients.

Autrement dit, tant que les fichiers du logiciel sont analysés, il est facile d'obtenir le mot de passe et de se connecter à leur base de données.

Condamné à 3 000 euros d'amende par le tribunal :

À ce sujet, il est facile de voir que ModernSolution a appelé la police uniquement parce que le programmeur a révélé son problème de sécurité, car ils ont toujours nié l'existence d'un problème et n'étaient pas prêts à appeler la police au début jusqu'à ce que cela soit rendu public.

Les procureurs ont engagé des poursuites conformément au droit allemand traditionnel, à savoir l'article 202c du Code pénal allemand, également connu sous le nom de clause de piratage, qui érige en infraction pénale l'accès non autorisé à des données protégées par mot de passe.

Pour cette raison, le tribunal de grande instance allemand a tenu compte du fait que le programmeur n'avait aucun autre casier judiciaire et lui a donc infligé une amende de 3 000 euros. Cette peine était bien inférieure à la peine demandée par les procureurs allemands.

appel:

Les avocats qui le représentent ont déclaré qu'il avait agi dans l'intérêt public et informé de manière responsable l'éditeur du logiciel de la faille de sécurité, mais ont déclaré que l'opinion du tribunal sur la question était sérieusement dépassée.

Après tout, bien qu’il ait accédé aux données, il les a découvertes par hasard. Deuxièmement, il a révélé la vulnérabilité pour l’intérêt public. Troisièmement, il n’a divulgué aucune donnée, il ne devrait donc en aucun cas être condamné/amendé.

Le programmeur a déposé un recours, qui sera entendu par le tribunal régional supérieur d'Allemagne.