État actuel du processus « Solution moderne »Blog IT et Windows de Born

paragraphePetite mise à jour sur l’état de la procédure dite « Modern Solution », dans laquelle le découvreur d’une vulnérabilité a été condamné à une amende – le paragraphe dit hacker le rend possible. L’avocat du développeur de logiciels qui a découvert la vulnérabilité commente le cœur juridique de la procédure et souligne ce que la justice allemande pense d’un tel cas. Et un bref aperçu de « l’amendement du paragraphe hacker ».

En quoi consiste le processus « Solution moderne » ?

, État actuel du processus « Solution moderne »Blog IT et Windows de BornLors de l’installation d’un logiciel (d’un revendeur), un informaticien a remarqué une connexion de base de données à un serveur externe, où les données étaient transmises de manière non sécurisée. En y regardant de plus près, le développeur du logiciel a remarqué que le serveur était exploité par Modern Solution GmbH & Co. KG. Celui-ci agit en tant que prestataire de services de commerce électronique pour les plateformes en ligne de différents fournisseurs (Check24, Otto, Rakuten ou Kaufland).

L’accès mal sécurisé du prestataire de services Modern Solution signifiait que les données des détaillants (commandes, adresses mais aussi détails des comptes) pouvaient être consultées ou consultées par des tiers via Internet (voir données clients des marchés en ligne (Otto, Kaufland, Check24… ) visible).

Comme la vulnérabilité n’a pas été corrigée rapidement, la personne qui a découvert la faille de sécurité a été rendue publique. Cela a incité Modern Solution à porter plainte, après quoi le procureur de Cologne a engagé une procédure pénale. Il y a eu une perquisition au domicile et la confiscation du matériel de travail du développeur de logiciels.

Après diverses négociations devant le tribunal, le découvreur de la vulnérabilité a été condamné en première instance par le tribunal de district de Jülich à une amende de 3 000 euros sur la base du « paragraphe hacker » (voir le tribunal de district de Jülich condamne le découvreur de la vulnérabilité Modern Solutions à une amende (janvier 2024)). Le juge a considéré l’utilisation de phpMyAdmin pour accéder à la base de données Modern Solutions comme une infraction pénale au sens des §202a et suivants. StGB. Le tribunal régional d’Aix-la-Chapelle a confirmé le jugement du tribunal de district lors de l’audience d’appel. La procédure fait actuellement l’objet d’un appel devant le tribunal régional supérieur de Cologne.

L’avocat expose les problèmes

En tant que personne normale, vous supposez que les juges examinent l’affaire, réfléchissent à l’ensemble des preuves, en tenant compte de la vue d’ensemble, puis rendent un verdict. Cela a peut-être été le cas lors de la première audience devant le tribunal de district de Juliers – car l’accusé a été acquitté. Le recours du ministère public devant le tribunal régional d’Aix-la-Chapelle a conduit au renvoi de l’affaire devant le tribunal de district de Jülich, puis à la condamnation.

L’avocat du développeur de logiciels a résumé la situation actuelle en quelques points selon son point de vue. Je suis tombé sur cette déclaration via le tweet suivant.

Etat des lieux "Solution moderne"-Procédure

Si vous parcourez les explications de l’avocat sur LinkedIn, en tant que profane du droit, vous en resterez bouche bée. Tout d’abord, l’information est que les juges des procédures pénales peuvent rejeter les demandes de preuves, de sorte que des questions factuelles essentielles ne peuvent pas être discutées légalement.

Le découvreur de la vulnérabilité a ensuite été condamné parce qu’il avait accédé à la base de données Modern Solutions via phpAdmin à l’aide d’un mot de passe et l’avait ensuite documenté avec une capture d’écran. Le tribunal était moins intéressé par le fait que le mot de passe puisse être lu en texte brut par un éditeur hexadécimal dans le fichier programme. Voici quelques citations du résumé de l’avocat :

  • de facto, seuls des rapports d’enquête sommaires ont été lus, sans audition de témoins (déjà irrecevables selon les arrêts de la Cour suprême) ;
  • un e-mail a été lu faisant référence à une pièce jointe censée contenir une capture d’écran des « données ». […]la capture d’écran inquiétante existe […] À ce jour, il ne figure pas au dossier et aucune détermination n’a été faite quant à ce qui peut y être vu.
  • Le destinataire du courrier électronique n’a pas été interrogé en tant que témoin sur ce qu’il était censé y voir. En particulier, il n’a pas été possible (!) de déterminer si la capture d’écran montrait les données du client ou simplement la structure de la base de données.
  • Le jugement, qui repose essentiellement sur cet élément de base, repose expressément sur de simples hypothèses.

Ce qui a été choquant pour l’avocat, lorsqu’il décrit son impression du procès, c’est que le juge qui présidait s’est adressé directement au public dans le cadre du verdict pour expliquer pourquoi les reportages publics et le verdict du tribunal différaient. L’avocat semble perturbé ; cette approche semble plutôt inhabituelle devant les tribunaux.

L’avocat déclare également que les deux instances judiciaires s’éloignent de plus en plus de la véritable question juridique, qui est cependant devenue encore plus intéressante en raison du problème de capture d’écran. Voici la question juridique :

  • Si un prestataire de services informatiques découvre une faille de sécurité au cours de son travail pour un client, peut-il alors la divulguer (le LG AC a désormais identifié l’activité selon la lecture de l’avocat, même si ce n’est qu’implicitement) ?
  • Au cours de la découverte de la faille de sécurité, est-il permis de (a) la vérifier à un seuil bas (ici : connexion au serveur MySQL) et (b) de la documenter avec des captures d’écran pouvant contenir des données protégées/personnelles, également afin de éviter l’accusation pour se défendre contre de fausses allégations ?

Selon l’avocat, les conclusions concernant le point (b) manquent. Pour lui, cela « empoisonne le processus ». Il écrit que l’approche procédurale impure des tribunaux de Juliers et d’Aix-la-Chapelle est désormais au centre de l’attention du tribunal régional supérieur de Cologne. Ce qui n’est toujours pas clarifié, c’est la question juridique réelle de savoir comment le paragraphe sur les pirates informatiques doit être interprété dans un tel cas.

Quiconque découvre une vulnérabilité devrait réfléchir à trois fois avant de la signaler – tout au plus un rapport via la presse (qui peut revendiquer la protection des sources) est-il envisageable.

Qu’en est-il de l’amendement au paragraphe sur les hackers ?

Le ministre de la Justice Marco Buschmann (FDP) avait en effet prévu de modifier l’article 203 du Code pénal. La Gesellschaft für Informatik (GI) et l’AG Kritis ont discuté du projet de loi et ont exigé des corrections. heise a résumé la situation actuelle dans cet article. En raison de l’effondrement de la coalition, l’amendement des §203 a à c appartient au passé dans cette législature, je n’attends rien de plus.

Articles similaires :
Les données clients des places de marché en ligne (Otto, Kaufland, Check24…) peuvent être consultées
Fuite de données sur les plateformes d’achat allemandes (700 000 données clients en ligne)
Le développeur signale une fuite de données de la solution moderne, suivie d’une plainte et d’une perquisition à domicile
Fuite de données de Modern Solution : la plainte contre les développeurs provient du fabricant
Publicité de Modern Solution : plainte contre le découvreur d’une vulnérabilité rejetée par le tribunal
L’expert informatique qui a rendu publique la vulnérabilité de Modern Solutions doit maintenant s’adresser au tribunal
Le jugement du LG Aachen (cas de vulnérabilité Modern Solution) est disponible
Audience principale contre les découvreurs de la vulnérabilité Modern Solutions en janvier 2024
Le tribunal de district de Juliers condamne à une amende ceux qui ont découvert la vulnérabilité de Modern Solutions (janvier 2024)
Le tribunal régional d’Aix-la-Chapelle confirme le jugement contre le découvreur d’une vulnérabilité de solution moderne

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners. View more
Cookies settings
Accept
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active
centresaintebarbe.fr Photo de la page Données privées.

Politique de confidentialité:

Exploitation et transmission de vos données privées:

Au cas où vous sollicitez une désactivation de votre password, votre identifiant IP sera enfermée dans l’e-mail de désactivation.

Divulgation de vos datas individuelles:

Tous commentaires des utilisateurs pourront être étudiés au moyen d'un service industrialisé de découverte des textes outrageants.

A propos des cookies:

Au cas où vous envoyez un message sur notre site, vous serez amenés à enregistrer votre nom, e-mail et site dans des cookies. Cela a pour but uniquement dans le but de votre surf convivial pour ne pas être conduit à redonner ces informations au cas où vous déposez un nouveau commentaire plus tard. Ces cookies expirent au bout d’un an.Dans les cas où vous vous rendez sur la partie de l'enregistrement, un cookie transitoire va se généré afin de constater si votre browser autorise les cookies. Cela ne concentre pas de datas personnelles et sera supprimé inéluctablement à la fermeture votre browser.Au cas où vous vous connectez, nous activons un certain nombre de cookies dans le but d'enregistrer vos informations de login et vos options d’écran. L'espérance d'existence d’un cookie de login est de quelques jours, celle d’un cookie de navigation est de l'ordre de l'année. Lorsque vous mentionnez « Se souvenir de moi », votre cookie de login sera perpétué pour une durée de moins d'un mois. Dans les cas où vous clôturez votre compte, le cookie de connexion sera radié.En modifiant ou si vous publiez une publication, un cookie supplémentaire sera établi dans votre terminal. Ce cookie ne comprend aucune information privée. Il expose simplement l’ID du post que vous avez décidé de corriger. Il périt au bout de 24 heures.

Données placées à partir d’autres sites:

Les posts de ce site peuvent introduire des informations constituées (par exemple des vidéos, fichiers, papiers…). Le contenu embarqué depuis d’autres sites se compose de manière identique que si l'utilisateur visitait ce site tiers.Ces sites internet ont la possibilité de charger des datas sur vous, appliquer des cookies, télécharger des logiciels de suivis tiers, conserver vos informations avec ces datas saisies si vous détenez un compte connecté sur leur site internet.

Les droits que vous avez sur vos informations:

Lorsque vous détenez un espace personnel ou si vous avez enregistré des commentaires sur le site, vous avez le droit de demander à recevoir un fichier introduisant en globalité les informations individuelles que nous contrôlons à propos de vous, enfermant celles que vous nous avez consenties. Vous avez le droit aussi de solliciter l'effacement des datas personnelles vous concernant. Cette procédure ne concerne pas les informations accumulées à des fins de statistiques, dans le respect du droit ou pour sécurité.

Cela est en conformité à la RGPD.

Données de contenu:

Au cas où vous envoyez des médias sur le site, nous vous suggérons de vous abstenir de le faire des icônes contenant des identifiants EXIF de positionnement GPS. Les gens visitant le site savent prélever des données de détection à partir de ces photographies.

Ecrire des textes sur le site:

Quand vous écrivez un texte sur notre site, les infos insérées dans le formulaire de texte, mais aussi l'identification IP et l’agent utilisateur de votre logiciel de navigation sont collectés pour nous donner la possibilité de déceler des commentaires non autorisés.

Durées de mémorisation de vos datas:

Lorsque vous enregistrez un commentaire, le texte et ses métadonnées sont entreposés pour toujours. Ce processus implique de diagnostiquer et acquiescer mécaniquement les textes consécutifs au lieu de les transmettre dans la file du modérateur.Si les espaces personnels qui s’insèrent sur le site (au cas où), nous accumulons également les informations personnelles communiquées dans leur profil. Tous les comptes ont la possibilité intervenir sur leurs informations privées n'importe quand. Les modérateurs du site savent aussi intervenir sur ces données.

Save settings
Cookies settings