IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. 23/01/2024, 00h53 #1
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 455
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 455
    Points : 197 767
    Points
    197 767
    Par défaut Un consultant en informatique allemand condamné à une amende pour avoir dénoncé une sécurité déficiente
    Un consultant en informatique allemand condamné à une amende pour avoir dénoncé une sécurité déficiente,
    Repérer un mot de passe en clair et l'utiliser sans autorisation dans le cadre d'une recherche devrait-il être considéré comme un délit ?

    Un consultant en informatique en Allemagne a été condamné à une amende de 3 000 euros pour avoir découvert et signalé une vulnérabilité dans la base de données d’un site de commerce électronique qui exposait près de 700 000 données clients. La vulnérabilité était due à un mot de passe en clair stocké dans le logiciel utilisé par le site. Cette décision a suscité la frustration des experts en sécurité qui estiment qu’elle crée un précédent inquiétant pour la recherche légitime en matière de sécurité.

    En septembre 2021, la police allemande a saisi les ordinateurs du consultant suite à une plainte de Modern Solution qui affirmait qu’il n’aurait pu obtenir le mot de passe que par une connaissance interne - il avait travaillé auparavant pour une entreprise liée - et que l’entreprise l’accusait d’être un concurrent. La justification de cette supposition n'est toutefois pas très convaincante sur le plan technique.

    Le consultant, identifié sous le nom de Hendrik H., travaillait pour un client de la société de services informatiques Modern Solution GmbH. En juin 2021, il a découvert que le logiciel de Modern Solution établissait une connexion MySQL à un serveur de base de données MariaDB exploité par le fournisseur. Il s’est avéré que le mot de passe pour accéder à ce serveur distant était stocké en clair dans le fichier du programme MSConnect.exe, et qu’il suffisait de l’ouvrir dans un simple éditeur de texte pour révéler le mot de passe en dur.

    Avec ce mot de passe facile à trouver, n’importe qui pouvait se connecter au serveur distant et accéder aux données appartenant non seulement à ce client de Modern Solution, mais aussi aux données de tous les clients du fournisseur stockées sur ce serveur de base de données. Ces données comprenaient des informations personnelles sur les clients de ces clients, tels que les noms, les prénoms, les adresses électroniques, les numéros de téléphone, les coordonnées bancaires, les mots de passe et les historiques de conversation et d’appel.

    Le consultant a fait part de ses découvertes dans un rapport du 23 juin 2021 rédigé par Mark Steier, qui écrit sur le commerce électronique. Le même jour, Modern Solution a publié un communiqué PDF - traduit de l’allemand - résumant l’incident :

    Aujourd’hui, le 23 juin 2021 à 8h09, un ‘hacker éthique’ nous a alertés d’une faille de sécurité dans notre système. En raison de cette faille, il était possible d’accéder au mot de passe de notre base de données et d’accéder à des mots de passe et des données personnelles non chiffrés. En utilisant ce mot de passe de base de données, le hacker a obtenu un accès externe à notre base de données et à notre système de billetterie. Nous ne savons pas actuellement dans quelle mesure ces données ont été transmises ou utilisées par le ‘hacker éthique’ et si d’autres accès ont eu lieu. Nous travaillons intensivement à l’enquête sur l’incident.
    Le communiqué indique que des données sensibles concernant les clients de Modern Solution ont été exposées : noms de famille, prénoms, adresses électroniques, numéros de téléphone, coordonnées bancaires, mots de passe et historiques de conversation et d’appel. Mais il affirme que seule une quantité limitée de données - noms et adresses - concernant les acheteurs qui ont effectué des achats auprès de ces clients de détail ont été exposées. Steier conteste cette affirmation et affirme que Modern Solution a minimisé la gravité des données exposées, qui comprenaient selon lui des données clients étendues provenant des boutiques en ligne exploitées par les clients de Modern Solution.

    Nom : marke.png Affichages : 7092 Taille : 514,8 Ko

    Données de 700 000 clients

    Sur les systèmes de Modern Solution, les données personnelles d'environ 700 000 clients de différents commerçants en ligne ont pu être consultées pendant plusieurs années, en grande partie sans être sécurisées. Ces clients avaient fait des achats auprès de petits commerçants qui avaient mis leurs produits en vente sur les places de marché de grands commerçants en ligne comme Otto, Kaufland ou Check24 au moyen d'un logiciel de Modern Solution.

    Après que le développeur a rendu publique la fuite de données en juin, son domicile et son lieu de travail ont été perquisitionnés le 15 septembre et l'ensemble de son équipement de travail - un PC, cinq ordinateurs portables, un téléphone mobile et cinq supports de stockage externes - a été saisi.

    C'est ce qui a permis aux médias allemands de conclure à cette époque que la plainte et la perquisition qui s'en est suivie ont été ordonnées par Modern Solution en réaction directe à la publication de la fuite de données, l'entreprise expliquant que le développeur n'a pu accéder aux données que grâce à des connaissances internes et qu'il est en outre un concurrent.

    Selon le dossier d'enquête, des cadres supérieurs de Modern Solution ont déclaré à la police que le développeur avait travaillé auparavant pour la société JTL à Hückelhoven. JTL fabrique les systèmes de gestion des marchandises avec lesquels le logiciel de Modern Solution se connecte du côté du détaillant. La relation de travail du programmeur chez JTL avait alors pris fin suite à des conflits. L'accusé a confirmé son emploi chez JTL aux médias allemands et n'a pas nié avoir eu des « problèmes » lors de son passage dans l'entreprise.

    Une version qui n'a jamais vraiment été publiquement contestée

    Modern Solution est, selon ses propres dires, spécialisée dans l'installation et l'hébergement de ces systèmes WaWi de JTL. Les représentants de Modern Solution ont déclaré à la police que le développeur avait réussi, grâce à ses connaissances internes acquises chez JTL, à obtenir le mot de passe qui lui avait permis d'accéder aux données de Modern Solution.

    En juin 2021, l'expert en informatique a découvert, selon ses propres dires, lors du dépannage d'un client de Modern Solution, que l'échange de données du logiciel de Modern Solution se faisait via une connexion SQL visible en texte clair et que les données d'accès étaient solidement ancrées dans le logiciel. Ainsi, quiconque pouvait obtenir une copie du logiciel, en principe librement disponible, avait accès aux données de tous les clients dont les achats étaient effectués via les systèmes de Modern Solution. Le blogueur Mark Steier a expliqué dans un article du 23 juin 2021 comment cela fonctionnait exactement.

    Modern Solution n'a jamais contesté publiquement cette version des faits. Face à la police, des collaborateurs de haut rang de l'entreprise de Gelsenkirchen ont toutefois argumenté que le développeur n'avait pu avoir accès à ce mot de passe que parce qu'il avait travaillé auparavant pour JTL. En outre, selon le dossier, l'entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe. Si l'on suit cette interprétation, le fait de passer outre cette prétendue mesure de protection pourrait entraîner une infraction pénale.

    Quoiqu'il en soit, le consultant a été poursuivi pour accès illicite aux données en vertu du droit allemand. Hendrik H. a été accusé d'accès illégal à des données en vertu de l'article 202a du code pénal allemand, sur la base de la règle selon laquelle l'examen de données protégées par un mot de passe peut être considéré comme un délit en vertu de la loi sur la cybersécurité de l'Union européenne.

    Nom : modern.png Affichages : 1492 Taille : 45,9 Ko

    Des décisions qui pourraient avoir des impacts sur les lanceurs d'alerte

    En juin 2023, le tribunal de première instance de Jülich, dans l'ouest de l'Allemagne, a donné raison au consultant en informatique, estimant que le logiciel Modern Solution n'était pas suffisamment protégé. Mais le tribunal régional d'Aix-la-Chapelle a ordonné au tribunal de district d'instruire la plainte. Plus tôt ce mois-ci, le tribunal de district est revenu sur sa décision initiale. Le 17 janvier, le tribunal d'instance de Jülich a condamné Hendrik H. à une amende et aux frais de justice.

    Dans un billet publié mercredi, Steier, le blogueur qui a contribué à mettre au jour la base de données exposée, a écrit :

    Sans beaucoup d'efforts et de connaissances, il était possible à n'importe quel profane instruit d'accéder à la base de données de Modern Solution contenant plus de 700.000 données clients. L'ordonnance pénale est d'autant plus choquante qu'elle est fondamentalement fausse. Un mot de passe qui a été enregistré presque en texte clair ne constitue pas une "sécurité particulière", ce qu'exige pourtant le §202. Il est compréhensible qu'un juge ne puisse pas évaluer cela, mais un expert aurait alors dû être entendu sur cette question. Malheureusement, cela n'a pas été fait.
    Selon les rapports, le verdict n'est pas encore juridiquement contraignant car les deux parties ont une semaine pour faire appel, ce que le consultant en informatique aurait l'intention de faire.

    Dans un message publié sur Mastodon, Wladimir Palant, chercheur en sécurité, développeur de logiciels et cofondateur d'eyeo, une entreprise allemande spécialisée dans le filtrage des publicités, a exprimé sa frustration face à la décision du tribunal.

    « J'espère vraiment qu'il y aura une décision de la prochaine instance qui renversera à nouveau cette décision », a écrit Palant. Mais c'est exactement ce que les gens craignaient : quelle que soit la faille de la « protection » supposée, sa simple existence transforme la recherche sur la sécurité en piratage criminel en vertu de la loi allemande. Cela a un effet dissuasif sur la recherche légitime, permettant aux entreprises de s'en tirer avec une sécurité inadéquate et, en fin de compte, de mettre en danger les utilisateurs.

    Pour Steier :

    Tout "hacker éthique" qui découvre des fuites de données et les signale aux entreprises concernées doit s'attendre à une plainte et à des poursuites pénales. Cela ne devrait pas être le cas, car si un lanceur d'alerte signale des failles de sécurité, il aide. Une sanction en bonne et due forme aurait été méritée par la société Modern Solution, qui n'a pas été en mesure de développer de manière professionnelle et qui a ensuite traité la fuite de données de manière non professionnelle.
    Sources : Mark Steier, code pénal allemand relatif à l'espionnage des données, section 202a, notification d'une violation de la protection des données (Modern Solution)

    Et vous ?

    Que pensez-vous de la décision du tribunal régional de condamner le consultant à une amende ?
    Pensez-vous que le consultant a agi de manière éthique en signalant la vulnérabilité au public ?
    Quelles sont les conséquences potentielles de l’exposition des données personnelles des clients des boutiques en ligne ?
    Quelles mesures devraient être prises pour renforcer la sécurité des bases de données et des logiciels utilisés par les sites de commerce électronique ?
    Comment les chercheurs en sécurité peuvent-ils éviter d’être poursuivis en justice pour avoir découvert et signalé des failles de sécurité ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   26  0
  2. 23/01/2024, 07h14 #2
    marsupial
    marsupial est déconnecté
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 764
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 764
    Points : 7 187
    Points
    7 187
    Par défaut
    Le hacker aurait dû contacter l'entreprise plutôt que de publier. Mais y avait-il un moyen de contact simple ou une procédure pour signaler une faille de sécurité ? Ou a-t-il été écouté en tant que prestataire ? Toujours est-il qu'un login/mdp dans un code est une pratique à proscrire et je fais des bonds quand je lis ça. Surtout un code en accès libre. L'article ne mentionne pas si la faille a été corrigée. Mais avec une telle faille, pas besoin de connaissances particulières pour pirater une BDD : suffit d'être un peu curieux.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives
    Repeat after me...
    Répondre avec citation Répondre avec citation   5  0
  3. 23/01/2024, 09h18 #3
    unanonyme
    unanonyme est déconnecté
    Membre éclairé
    Homme Profil pro
    Urbaniste
    Inscrit en
    Août 2023
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : Août 2023
    Messages : 386
    Points : 788
    Points
    788
    Par défaut
    Bonjour,

    l'entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe
    ça fait tousser.

    Bonne journée.
    Répondre avec citation Répondre avec citation   4  0
  4. 23/01/2024, 16h29 #4
    e-ric
    e-ric est déconnecté
    Membre expert
    Avatar de e-ric
    Homme Profil pro
    Apprenti chat, bienfaiteur de tritons et autres bestioles
    Inscrit en
    Mars 2002
    Messages
    1 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Apprenti chat, bienfaiteur de tritons et autres bestioles

    Informations forums :
    Inscription : Mars 2002
    Messages : 1 552
    Points : 3 920
    Points
    3 920
    Par défaut
    Salut

    pour faire suite à unanonyme, il faudra juste que les pirates soient prévenus de cette protection innovante pour les dissuader de l'exploiter, lol.

    M E N S . A G I T A T . M O L E M
    Debian 64bit, Lazarus + FPC -> n'oubliez pas de consulter les FAQ Delphi et Pascal ainsi que les cours et tutoriels Delphi et Pascal

    "La théorie, c'est quand on sait tout, mais que rien ne marche. La pratique, c'est quand tout marche, mais qu'on ne sait pas pourquoi. En informatique, la théorie et la pratique sont réunies: rien ne marche et on ne sait pas pourquoi!".
    Mais Emmanuel Kant disait aussi : "La théorie sans la pratique est inutile, la pratique sans la théorie est aveugle."
    Répondre avec citation Répondre avec citation   1  0
  5. 23/01/2024, 17h57 #5
    archqt
    archqt est déconnecté
    Membre émérite
    Profil pro
    retraité
    Inscrit en
    Décembre 2010
    Messages
    806
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Décembre 2010
    Messages : 806
    Points : 2 310
    Points
    2 310
    Par défaut
    Il faudrait boycotter cette entreprise. Cela me rappelle l'ingénieur qui avait trouvé une faille sur le paiement des bornes de la RATP. Une fois qu'il a montré comment faire ils l'ont attaqué en justice, alors qu'il demandait une compensation (peut être en son tord) pour sa trouvaille. C'est à rendre malhonnête un hacker éthique.
    Répondre avec citation Répondre avec citation   4  0
  6. 23/01/2024, 22h55 #6
    Escapetiger
    Escapetiger est déconnecté
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 476
    Points : 11 051
    Points
    11 051
    Par défaut
    Citation Envoyé par archqt Voir le message
    Il faudrait boycotter cette entreprise. Cela me rappelle l'ingénieur qui avait trouvé une faille sur le paiement des bornes de la RATP. Une fois qu'il a montré comment faire ils l'ont attaqué en justice, alors qu'il demandait une compensation (peut être en son tord) pour sa trouvaille. C'est à rendre malhonnête un hacker éthique.
    Serge Humpich ? (~ 1997 - 1998)

    « Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant onze carnets de tickets de métro, assortis de dix facturettes, au moyen de dix cartes de sa fabrication à partir de distributeurs automatiques disposés dans les stations Balard et Charles Michels. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue. »

    Source: Serge Humpich — Wikipédia
    « Developpez.com est un groupe international de bénévoles dont la motivation est l'entraide au sens large » (incl. forums developpez.net)
    Club des professionnels en informatique
    Répondre avec citation Répondre avec citation   2  0
ActualitésTUTORIELSFAQsLIVRESTELECHARGEMENTSSOURCESDEBATSWIKIDICOCALENDRIERHUMOUR
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. 549 Mns $ d'amende pour avoir utilisé des messageries comme WhatsApp afin de discuter de leurs activités
    Par Stéphane le calme dans le forum Actualités
    Réponses: 1
    Dernier message: 10/08/2023, 12h14
  2. Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur
    Par Bill Fassinou dans le forum Général Conception Web
    Réponses: 15
    Dernier message: 07/02/2022, 10h39
  3. USA : un homme condamné à une amende de 500 $ pour avoir utilisé le titre d’ingénieur
    Par Michael Guilloux dans le forum Actualités
    Réponses: 42
    Dernier message: 01/11/2017, 00h43
  4. Données personnelles : Facebook condamné une amende 1,2 million d’euros en Espagne
    Par Olivier Famien dans le forum Actualités
    Réponses: 37
    Dernier message: 12/09/2017, 01h04
  5. Un blogueur condamné à payer une amende de 3000 euros pour avoir effectué une recherche Google
    Par Francis Walter dans le forum Actualités
    Réponses: 71
    Dernier message: 19/02/2014, 00h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo