Après qu’un programmeur indépendant a rendu publique une fuite de données chez un fournisseur de services pour le commerce en ligne, il a reçu la visite de la police. Le 15 septembre, son appartement en Rhénanie-du-Nord-Westphalie a été perquisitionné et tout son matériel de travail a été confisqué. L’entreprise concernée, Modern Solution, qui, selon les constatations actuelles, doit au moins être accusée de négligence grave, fait de l’obstruction et ne veut pas faire de commentaire à heise Security.
Modern Solution propose aux commerçants de toutes sortes de connecter leurs systèmes de gestion des marchandises aux places de marché en ligne de grandes entreprises telles que Otto, Kaufland et Check24, afin qu’ils puissent y proposer leurs marchandises. En règle générale, cette connexion s’effectue via un logiciel local qui se connecte au système de gestion des marchandises du commerçant et échange des informations avec les serveurs de la place de marché. Normalement, cela devrait se faire par le biais d’API dont l’accès est protégé.
Sommaire
Une solution moins moderne
En juin, l’expert informatique, dont l’identité est connue de heise Security, a découvert lors du dépannage d’un client de Modern Solution que cet échange de données chez Modern Solution s’effectuait via une connexion SQL consultable en texte clair et que les données d’accès étaient solidement ancrées dans le logiciel. En conséquence, les données de plus de 700 000 clients finaux étaient ouvertement accessibles sur le réseau – et apparemment pour une longue période.
Mark Steier, un blogueur bien connu de la communauté du commerce électronique, a conseillé au programmeur de signaler d’abord sa trouvaille à l’entreprise. Le lendemain matin, l’expert a signalé la faille à Modern Solution en lui fixant un délai de trois jours pour corriger les problèmes de sécurité. Le programmeur a déclaré à heise Security qu’il avait été brusquement rejeté : Modern Solution avait nié l’existence d’une lacune.
Après que le fournisseur de services ait mis hors ligne les systèmes vulnérables, il a décidé de rendre l’incident public et a repris contact avec Steier. Modern Solution lui a également nié l’existence d’une faille de sécurité dans ses propres systèmes. Cependant, tous deux ont signalé que la société avait apparemment mis hors ligne le serveur concerné.
Maintenant que la faille de sécurité a été éliminée, les programmeurs et les blogueurs ont décidé d’informer rapidement le public. Steier a demandé une nouvelle fois à Modern Solution de faire une déclaration, s’est vu opposer une fin de non-recevoir, puis a publié un article détaillé sur son blog. Cet article a été mis en ligne le 23 juin, le jour même où le programmateur avait informé Modern Solution et Steier.
Divulgation maladroite
La rapidité de la divulgation est discutable. L’informaticien et blogueur Steier a rendu public le jour même où il a signalé la fuite et l’écart de données au fabricant et aux autorités responsables de la protection des données. Les chercheurs et les journalistes expérimentés en matière de sécurité accordent généralement plus de temps aux entreprises pour commenter les faits. Toutefois, si Modern Solution les a rejetés aussi brusquement que le programmeur l’a déclaré à heise Security, on peut supposer qu’aucune coopération constructive n’était souhaitée.
Aussi maladroit que le timing des deux puisse paraître, d’un point de vue purement technique, ils ont respecté la règle de base de la divulgation responsable : La brèche avait apparemment déjà été fermée au moment où ils ont informé le public. Et avec plus de 700 000 clients finaux concernés, il ne fait aucun doute que l’on peut supposer un intérêt public pour cette affaire. Dans une déclaration à Steier, Modern Solution qualifie le programmeur de « hacker éthique » – entre guillemets.
Recherche de maison en remerciement
Mais au lieu d’être remercié pour avoir découvert une fuite de données potentiellement catastrophique pour 700 000 clients finaux, le programmeur a de vrais problèmes avec les autorités. Le 15 septembre, une équipe de recherche du service d’enquête criminelle 22 de la police d’Aix-la-Chapelle s’est présentée à sa porte. Selon la description du programmeur, les agents se sont fait passer pour des livreurs de colis, ont accédé à l’appartement et l’ont plaqué contre le mur. La police a confisqué un PC, cinq ordinateurs portables, un téléphone mobile et cinq supports de stockage externes, soit l’ensemble du matériel de travail du programmeur.
Selon le protocole de recherche, dont heise Security dispose, l’informaticien est accusé « entre autres choses ». L’espionnage des données » – une référence à ce que l’on appelle le « hacker » paragraphe 202a StGB. Nous ne savons pas qui a déposé le rapport. La police d’Aix-la-Chapelle renvoie au parquet de Cologne, qui avait pris l’initiative de la perquisition et de la saisie. Le ministère public confirme nos informations sur les faits de l’affaire et la perquisition. L’évaluation des supports de données saisis est toujours en cours, a expliqué l’autorité judiciaire sur demande.
Les autorités ne répondent pas à la question de savoir pourquoi l’appartement du programmeur a dû être fouillé pour trouver des traces en septembre, alors que les faits de l’affaire ainsi que la faille de sécurité avaient été bien documentés publiquement depuis juin. Modern Solution elle-même ne souhaite apparemment pas commenter la situation à heise Security : Une demande de renseignements correspondante est restée totalement sans réponse. Seuls le programmeur et le blogueur Steier ont accepté de nous parler de manière constructive.
Parallèles avec le désastre de CDUconnect
Cette affaire n’est pas sans rappeler des événements similaires survenus en août, lorsque des poursuites pénales ont été engagées contre la programmeuse Lilith Wittmann pour avoir rendu publiques des failles de sécurité flagrantes dans le logiciel CDUconnect. La CDU a retiré sa plainte après que de nombreuses pressions politiques aient été exercées dans ce sens et l’affaire a finalement été abandonnée parce que le paragraphe sur les pirates informatiques n’était pas applicable dans ce cas.
La raison invoquée à l’époque dans des documents du parquet de Berlin était la suivante : « Les données n’étaient donc pas protégées contre un accès non autorisé et étaient publiquement récupérables d’un point de vue technique. » Les collègues de Cologne devraient lire ceci attentivement.