Un pirate découvre accidentellement une faille et est désormais reconnu coupable de vol de données

Une publicité en guise de remerciement
Mot de passe librement accessible : un expert en informatique tombe sur un énorme trou et est reconnu coupable de vol de données

Un expert en informatique n’était en réalité censé résoudre qu’un seul problème : il a alors découvert les enregistrements de données de 700 000 acheteurs en ligne sur Internet, pratiquement non sécurisés. Mais au lieu de le remercier, l’entreprise l’a dénoncé.

Qu’est-ce qu’un hack exactement ? Cette question n’est pas aussi claire sur le plan juridique qu’on pourrait le penser. Un informaticien de Linnich a été condamné à une amende pour hacker. Il n’en avait qu’un qui était facile à obtenir Mot de passe utilisé.

Le programmeur, qui travaille comme informaticien indépendant, a été chargé par une entreprise en 2021 de résoudre un problème avec son logiciel serveur. L’utilitaire du système commercial du fournisseur de services Modern Solutions est utilisé par de nombreuses boutiques en ligne. Par hasard, il découvre qu’il peut utiliser le moyen le plus simple pour accéder à tous les clients de tous ces magasins, soit plus de 700 000 fiches. Il l’a signalé à l’opérateur. Et a été signalé pour cela.

Attaque involontaire

Mordern Solutions a fait valoir qu’il avait obtenu un accès non autorisé aux bases de données. Le désormais accusé et ses avocats le contredisent. Selon son récit, il a accidentellement trouvé le mot de passe de la base de données en examinant le logiciel. Lorsqu’il s’est connecté via la connexion, il a d’abord pensé qu’il ouvrait simplement une base de données clients sur son propre serveur. Ce n’est que plus tard qu’il s’est rendu compte qu’il disposait de données beaucoup plus détaillées. Et j’ai immédiatement contacté l’entreprise.

Lors de la première tentative, cet argument a même été accepté par le tribunal. Le tribunal de district de Juliers avait alors jugé que les données n’étaient pas suffisamment sécurisées et a rejeté la procédure. Cependant, après que le tribunal régional d’Aix-la-Chapelle a décidé que le tribunal de Juliers devait autoriser la procédure, le vent s’est inversé : le tribunal de district a déclaré l’accusé coupable et l’a condamné à une amende de 3 000 euros au total. En outre, il doit supporter les frais de procédure.

Qu’est-ce qu’un hack exactement ?

Le fait que l’évaluation ait ainsi changé est dû aux différentes approches de l’affaire. Alors que lors de la première tentative, il a été examiné si les ensembles de données étaient suffisamment sécurisés, cela n’a guère joué de rôle dans la deuxième procédure. Au lieu de cela, le juge s’est demandé si l’accusé avait surmonté les barrières de protection pour atteindre son objectif – et avait ainsi violé le soi-disant « paragraphe sur les hackers » (§202a StGB). C’était le cas, a finalement décidé le juge.

Le pirate informatique présumé n’a pas eu à déployer beaucoup d’efforts. Un simple éditeur de texte suffisait pour ouvrir et lire le code du programme du fichier exécutable. Le mot de passe du serveur y est également stocké en texte brut, juste à côté d’autres informations sur l’accès au serveur, a expliqué l’informaticien. Dans le second cas, le tribunal n’a apparemment pas voulu examiner si tel était réellement le cas. Cependant, le magazine spécialisé « Heise » a déjà pu vérifier en 2021 que le mot de passe pouvait être lu facilement et sans grandes connaissances ni efforts techniques.

Des motivations controversées

La certitude de l’informaticien d’avoir raison se reflète également dans son comportement envers la police. Selon Heise, il a non seulement coopéré avec les fonctionnaires, mais leur a même donné les mots de passe de ses appareils cryptés afin qu’ils puissent vérifier ses informations. Selon les experts, les données relatives à l’affaire n’ont pas été supprimées, ce qui témoigne également d’un traitement malveillant des données.

La société Modern Solutions voit les choses différemment. Le désormais expert avait auparavant travaillé dans l’entreprise qui développait le logiciel désormais « piraté », mais il l’a quitté après des « problèmes », comme il l’admet également. Maintenant, il voulait lui faire du mal, a déclaré Modern Solutions à la police. Le défendeur a rejeté cette proposition, soulignant qu’il souhaitait uniquement protéger les données des clients. En fait, il a non seulement informé l’entreprise, mais a également rendu publiques les conclusions via un blogueur.

On ne sait pas encore s’il devra effectivement payer une amende pour le « piratage ». Le verdict n’est pas encore juridiquement contraignant. Une cour d’appel pourrait évaluer l’affaire différemment. Le désormais accusé souhaite donc faire appel.

Sources:WDR, Heise