En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite une plainte de Modern Solution qui affirmait quil naurait pu obtenir le mot de passe que par une connaissance interne - il avait travaill auparavant pour une entreprise lie - et que lentreprise laccusait dtre un concurrent. La justification de cette supposition n'est toutefois pas trs convaincante sur le plan technique.
Le consultant, identifi sous le nom de Hendrik H., travaillait pour un client de la socit de services informatiques Modern Solution GmbH. En juin 2021, il a dcouvert que le logiciel de Modern Solution tablissait une connexion MySQL un serveur de base de donnes MariaDB exploit par le fournisseur. Il sest avr que le mot de passe pour accder ce serveur distant tait stock en clair dans le fichier du programme MSConnect.exe, et quil suffisait de louvrir dans un simple diteur de texte pour rvler le mot de passe en dur.
Avec ce mot de passe facile trouver, nimporte qui pouvait se connecter au serveur distant et accder aux donnes appartenant non seulement ce client de Modern Solution, mais aussi aux donnes de tous les clients du fournisseur stockes sur ce serveur de base de donnes. Ces donnes comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prnoms, les adresses lectroniques, les numros de tlphone, les coordonnes bancaires, les mots de passe et les historiques de conversation et dappel.
Le consultant a fait part de ses dcouvertes dans un rapport du 23 juin 2021 rdig par Mark Steier, qui crit sur le commerce lectronique. Le mme jour, Modern Solution a publi un communiqu PDF - traduit de lallemand - rsumant lincident :
Donnes de 700 000 clients
Sur les systmes de Modern Solution, les donnes personnelles d'environ 700 000 clients de diffrents commerants en ligne ont pu tre consultes pendant plusieurs annes, en grande partie sans tre scurises. Ces clients avaient fait des achats auprs de petits commerants qui avaient mis leurs produits en vente sur les places de march de grands commerants en ligne comme Otto, Kaufland ou Check24 au moyen d'un logiciel de Modern Solution.
Aprs que le dveloppeur a rendu publique la fuite de donnes en juin, son domicile et son lieu de travail ont t perquisitionns le 15 septembre et l'ensemble de son quipement de travail - un PC, cinq ordinateurs portables, un tlphone mobile et cinq supports de stockage externes - a t saisi.
C'est ce qui a permis aux mdias allemands de conclure cette poque que la plainte et la perquisition qui s'en est suivie ont t ordonnes par Modern Solution en raction directe la publication de la fuite de donnes, l'entreprise expliquant que le dveloppeur n'a pu accder aux donnes que grce des connaissances internes et qu'il est en outre un concurrent.
Selon le dossier d'enqute, des cadres suprieurs de Modern Solution ont dclar la police que le dveloppeur avait travaill auparavant pour la socit JTL Hckelhoven. JTL fabrique les systmes de gestion des marchandises avec lesquels le logiciel de Modern Solution se connecte du ct du dtaillant. La relation de travail du programmeur chez JTL avait alors pris fin suite des conflits. L'accus a confirm son emploi chez JTL aux mdias allemands et n'a pas ni avoir eu des problmes lors de son passage dans l'entreprise.
Une version qui n'a jamais vraiment t publiquement conteste
Modern Solution est, selon ses propres dires, spcialise dans l'installation et l'hbergement de ces systmes WaWi de JTL. Les reprsentants de Modern Solution ont dclar la police que le dveloppeur avait russi, grce ses connaissances internes acquises chez JTL, obtenir le mot de passe qui lui avait permis d'accder aux donnes de Modern Solution.
En juin 2021, l'expert en informatique a dcouvert, selon ses propres dires, lors du dpannage d'un client de Modern Solution, que l'change de donnes du logiciel de Modern Solution se faisait via une connexion SQL visible en texte clair et que les donnes d'accs taient solidement ancres dans le logiciel. Ainsi, quiconque pouvait obtenir une copie du logiciel, en principe librement disponible, avait accs aux donnes de tous les clients dont les achats taient effectus via les systmes de Modern Solution. Le blogueur Mark Steier a expliqu dans un article du 23 juin 2021 comment cela fonctionnait exactement.
Modern Solution n'a jamais contest publiquement cette version des faits. Face la police, des collaborateurs de haut rang de l'entreprise de Gelsenkirchen ont toutefois argument que le dveloppeur n'avait pu avoir accs ce mot de passe que parce qu'il avait travaill auparavant pour JTL. En outre, selon le dossier, l'entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chanes de mots de passe. Si l'on suit cette interprtation, le fait de passer outre cette prtendue mesure de protection pourrait entraner une infraction pnale.
Quoiqu'il en soit, le consultant a t poursuivi pour accs illicite aux donnes en vertu du droit allemand. Hendrik H. a t accus d'accs illgal des donnes en vertu de l'article 202a du code pnal allemand, sur la base de la rgle selon laquelle l'examen de donnes protges par un mot de passe peut tre considr comme un dlit en vertu de la loi sur la cyberscurit de l'Union europenne.
Des dcisions qui pourraient avoir des impacts sur les lanceurs d'alerte
En juin 2023, le tribunal de premire instance de Jlich, dans l'ouest de l'Allemagne, a donn raison au consultant en informatique, estimant que le logiciel Modern Solution n'tait pas suffisamment protg. Mais le tribunal rgional d'Aix-la-Chapelle a ordonn au tribunal de district d'instruire la plainte. Plus tt ce mois-ci, le tribunal de district est revenu sur sa dcision initiale. Le 17 janvier, le tribunal d'instance de Jlich a condamn Hendrik H. une amende et aux frais de justice.
Dans un billet publi mercredi, Steier, le blogueur qui a contribu mettre au jour la base de donnes expose, a crit :
Dans un message publi sur Mastodon, Wladimir Palant, chercheur en scurit, dveloppeur de logiciels et cofondateur d'eyeo, une entreprise allemande spcialise dans le filtrage des publicits, a exprim sa frustration face la dcision du tribunal.
J'espre vraiment qu'il y aura une dcision de la prochaine instance qui renversera nouveau cette dcision , a crit Palant. Mais c'est exactement ce que les gens craignaient : quelle que soit la faille de la protection suppose, sa simple existence transforme la recherche sur la scurit en piratage criminel en vertu de la loi allemande. Cela a un effet dissuasif sur la recherche lgitime, permettant aux entreprises de s'en tirer avec une scurit inadquate et, en fin de compte, de mettre en danger les utilisateurs.
Pour Steier :
Et vous ?
Que pensez-vous de la dcision du tribunal rgional de condamner le consultant une amende ?
Pensez-vous que le consultant a agi de manire thique en signalant la vulnrabilit au public ?
Quelles sont les consquences potentielles de lexposition des donnes personnelles des clients des boutiques en ligne ?
Quelles mesures devraient tre prises pour renforcer la scurit des bases de donnes et des logiciels utiliss par les sites de commerce lectronique ?
Comment les chercheurs en scurit peuvent-ils viter dtre poursuivis en justice pour avoir dcouvert et signal des failles de scurit ?