Petite mise à jour sur l’état de la procédure dite « Modern Solution », dans laquelle le découvreur d’une vulnérabilité a été condamné à une amende – le paragraphe dit hacker le rend possible. L’avocat du développeur de logiciels qui a découvert la vulnérabilité commente le cœur juridique de la procédure et souligne ce que la justice allemande pense d’un tel cas. Et un bref aperçu de « l’amendement du paragraphe hacker ».
En quoi consiste le processus « Solution moderne » ?
Lors de l’installation d’un logiciel (d’un revendeur), un informaticien a remarqué une connexion de base de données à un serveur externe, où les données étaient transmises de manière non sécurisée. En y regardant de plus près, le développeur du logiciel a remarqué que le serveur était exploité par Modern Solution GmbH & Co. KG. Celui-ci agit en tant que prestataire de services de commerce électronique pour les plateformes en ligne de différents fournisseurs (Check24, Otto, Rakuten ou Kaufland).
L’accès mal sécurisé du prestataire de services Modern Solution signifiait que les données des détaillants (commandes, adresses mais aussi détails des comptes) pouvaient être consultées ou consultées par des tiers via Internet (voir données clients des marchés en ligne (Otto, Kaufland, Check24… ) visible).
Comme la vulnérabilité n’a pas été corrigée rapidement, la personne qui a découvert la faille de sécurité a été rendue publique. Cela a incité Modern Solution à porter plainte, après quoi le procureur de Cologne a engagé une procédure pénale. Il y a eu une perquisition au domicile et la confiscation du matériel de travail du développeur de logiciels.
Après diverses négociations devant le tribunal, le découvreur de la vulnérabilité a été condamné en première instance par le tribunal de district de Jülich à une amende de 3 000 euros sur la base du « paragraphe hacker » (voir le tribunal de district de Jülich condamne le découvreur de la vulnérabilité Modern Solutions à une amende (janvier 2024)). Le juge a considéré l’utilisation de phpMyAdmin pour accéder à la base de données Modern Solutions comme une infraction pénale au sens des §202a et suivants. StGB. Le tribunal régional d’Aix-la-Chapelle a confirmé le jugement du tribunal de district lors de l’audience d’appel. La procédure fait actuellement l’objet d’un appel devant le tribunal régional supérieur de Cologne.
L’avocat expose les problèmes
En tant que personne normale, vous supposez que les juges examinent l’affaire, réfléchissent à l’ensemble des preuves, en tenant compte de la vue d’ensemble, puis rendent un verdict. Cela a peut-être été le cas lors de la première audience devant le tribunal de district de Juliers – car l’accusé a été acquitté. Le recours du ministère public devant le tribunal régional d’Aix-la-Chapelle a conduit au renvoi de l’affaire devant le tribunal de district de Jülich, puis à la condamnation.
L’avocat du développeur de logiciels a résumé la situation actuelle en quelques points selon son point de vue. Je suis tombé sur cette déclaration via le tweet suivant.
Si vous parcourez les explications de l’avocat sur LinkedIn, en tant que profane du droit, vous en resterez bouche bée. Tout d’abord, l’information est que les juges des procédures pénales peuvent rejeter les demandes de preuves, de sorte que des questions factuelles essentielles ne peuvent pas être discutées légalement.
Le découvreur de la vulnérabilité a ensuite été condamné parce qu’il avait accédé à la base de données Modern Solutions via phpAdmin à l’aide d’un mot de passe et l’avait ensuite documenté avec une capture d’écran. Le tribunal était moins intéressé par le fait que le mot de passe puisse être lu en texte brut par un éditeur hexadécimal dans le fichier programme. Voici quelques citations du résumé de l’avocat :
- de facto, seuls des rapports d’enquête sommaires ont été lus, sans audition de témoins (déjà irrecevables selon les arrêts de la Cour suprême) ;
- un e-mail a été lu faisant référence à une pièce jointe censée contenir une capture d’écran des « données ». […]la capture d’écran inquiétante existe […] À ce jour, il ne figure pas au dossier et aucune détermination n’a été faite quant à ce qui peut y être vu.
- Le destinataire du courrier électronique n’a pas été interrogé en tant que témoin sur ce qu’il était censé y voir. En particulier, il n’a pas été possible (!) de déterminer si la capture d’écran montrait les données du client ou simplement la structure de la base de données.
- Le jugement, qui repose essentiellement sur cet élément de base, repose expressément sur de simples hypothèses.
Ce qui a été choquant pour l’avocat, lorsqu’il décrit son impression du procès, c’est que le juge qui présidait s’est adressé directement au public dans le cadre du verdict pour expliquer pourquoi les reportages publics et le verdict du tribunal différaient. L’avocat semble perturbé ; cette approche semble plutôt inhabituelle devant les tribunaux.
L’avocat déclare également que les deux instances judiciaires s’éloignent de plus en plus de la véritable question juridique, qui est cependant devenue encore plus intéressante en raison du problème de capture d’écran. Voici la question juridique :
- Si un prestataire de services informatiques découvre une faille de sécurité au cours de son travail pour un client, peut-il alors la divulguer (le LG AC a désormais identifié l’activité selon la lecture de l’avocat, même si ce n’est qu’implicitement) ?
- Au cours de la découverte de la faille de sécurité, est-il permis de (a) la vérifier à un seuil bas (ici : connexion au serveur MySQL) et (b) de la documenter avec des captures d’écran pouvant contenir des données protégées/personnelles, également afin de éviter l’accusation pour se défendre contre de fausses allégations ?
Selon l’avocat, les conclusions concernant le point (b) manquent. Pour lui, cela « empoisonne le processus ». Il écrit que l’approche procédurale impure des tribunaux de Juliers et d’Aix-la-Chapelle est désormais au centre de l’attention du tribunal régional supérieur de Cologne. Ce qui n’est toujours pas clarifié, c’est la question juridique réelle de savoir comment le paragraphe sur les pirates informatiques doit être interprété dans un tel cas.
Quiconque découvre une vulnérabilité devrait réfléchir à trois fois avant de la signaler – tout au plus un rapport via la presse (qui peut revendiquer la protection des sources) est-il envisageable.
Qu’en est-il de l’amendement au paragraphe sur les hackers ?
Le ministre de la Justice Marco Buschmann (FDP) avait en effet prévu de modifier l’article 203 du Code pénal. La Gesellschaft für Informatik (GI) et l’AG Kritis ont discuté du projet de loi et ont exigé des corrections. heise a résumé la situation actuelle dans cet article. En raison de l’effondrement de la coalition, l’amendement des §203 a à c appartient au passé dans cette législature, je n’attends rien de plus.
Articles similaires :
Les données clients des places de marché en ligne (Otto, Kaufland, Check24…) peuvent être consultées
Fuite de données sur les plateformes d’achat allemandes (700 000 données clients en ligne)
Le développeur signale une fuite de données de la solution moderne, suivie d’une plainte et d’une perquisition à domicile
Fuite de données de Modern Solution : la plainte contre les développeurs provient du fabricant
Publicité de Modern Solution : plainte contre le découvreur d’une vulnérabilité rejetée par le tribunal
L’expert informatique qui a rendu publique la vulnérabilité de Modern Solutions doit maintenant s’adresser au tribunal
Le jugement du LG Aachen (cas de vulnérabilité Modern Solution) est disponible
Audience principale contre les découvreurs de la vulnérabilité Modern Solutions en janvier 2024
Le tribunal de district de Juliers condamne à une amende ceux qui ont découvert la vulnérabilité de Modern Solutions (janvier 2024)
Le tribunal régional d’Aix-la-Chapelle confirme le jugement contre le découvreur d’une vulnérabilité de solution moderne