La société Modern Solutions a porté plainte contre l’expert en informatique qui a découvert une compromission potentielle des données de centaines de milliers de clients par le logiciel de la société. C’est ce qui ressort des dossiers d’enquête, que heise online a pu consulter. En réponse à la plainte, la police a fouillé la maison du programmeur et a confisqué de nombreux appareils. Modern Solutions a également porté plainte contre un blogueur qui avait fait un reportage sur l’affaire.

Le programmeur fait l’objet d’une enquête pour, entre autres, espionnage de données, vol de données et violation de la loi fédérale sur la protection des données. Selon le dossier d’enquête, Modern Solutions a déclaré à la police que le programmeur n’a pu accéder aux systèmes de l’entreprise que grâce à des connaissances d’initiés. Toutefois, le raisonnement qui sous-tend cette hypothèse est techniquement peu convaincant.

Sommaire

Données provenant de 700 000 clients

Sur les systèmes de Modern Solution, les données personnelles d’environ 700 000 clients de divers détaillants en ligne ont pu être consultées pendant plusieurs années de manière largement non sécurisée. Ces clients avaient effectué des achats auprès de petits commerçants qui avaient proposé leurs produits sur les places de marché de grands commerçants en ligne comme Otto, Kaufland ou Check24 en utilisant le logiciel de Modern Solution.

Après que le programmeur indépendant a rendu publique la fuite de données en juin, son lieu de vie et de travail a été perquisitionné le 15 septembre, et l’ensemble de son matériel de travail – un PC, cinq ordinateurs portables, un téléphone mobile et cinq supports de stockage externes – a été confisqué. Les appareils sont toujours sous la garde de la police. Pour autant que l’on sache, l’énorme fuite de données n’a eu aucune conséquence juridique pour Modern Solution jusqu’à présent.

Le rapport et la recherche qui s’en est suivie, on peut maintenant l’affirmer avec certitude, ont été initiés par Modern Solution en réaction directe à la publication de la fuite de données. Jusqu’à présent, ce n’était que pure conjecture. L’entreprise explique que le programmeur n’a pu accéder aux données qu’avec des connaissances privilégiées et qu’il était également un concurrent.

« Insider et concurrent »

Selon le dossier d’enquête, les principaux employés de Modern Solution ont déclaré à la police que le programmeur avait précédemment travaillé pour la société JTL à Hückelhoven. JTL produit les systèmes de gestion des marchandises auxquels le logiciel de Modern Solution se connecte du côté du détaillant. L’emploi du programmeur chez JTL avait été résilié à ce moment-là après des conflits. L’accusé a confirmé à heise online son emploi chez JTL et n’a pas nié avoir eu des « problèmes » pendant son séjour dans l’entreprise.

Modern Solution se dit spécialisée dans la mise en place et l’hébergement de ces systèmes WaWi de JTL. Selon la police, les représentants de Modern Solution ont déclaré que le programmeur avait réussi à obtenir le mot de passe avec lequel il avait eu accès aux données de Modern Solution grâce aux connaissances d’initié qu’il avait acquises chez JTL.

Commentaire sur Solution moderne : l’Etat ne doit pas être le larbin des bunglers

En juin, selon ses propres informations, l’expert en informatique avait découvert lors d’un dépannage pour un client de Modern Solution que l’échange de données du logiciel de Modern Solution s’effectuait via une connexion SQL consultable en texte clair et que les données d’accès étaient solidement ancrées dans le logiciel. Cela signifie que quiconque pouvait obtenir une copie du logiciel, qui était en principe en libre accès, avait accès aux données de tous les clients dont les achats étaient traités par les systèmes de Modern Solution. Le blogueur Mark Steier a décrit exactement comment cela a fonctionné dans un article du 23 juin.

Publiquement, Modern Solution n’a jamais démenti ce récit. Cependant, des employés de haut rang de la société basée à Gelsenkirchen ont fait valoir à la police que le programmeur ne pouvait avoir accès à ce mot de passe que parce qu’il avait travaillé auparavant pour JTL. En outre, selon le dossier, l’entreprise estime que la compilation du logiciel constitue une protection efficace contre les attaques telles que la lecture des chaînes de mots de passe. Si l’on suit cette interprétation, le dépassement de cette prétendue mesure de protection pourrait entraîner une responsabilité pénale.

La compilation protège-t-elle contre l’accès ?

Les experts, en revanche, doutent que la traduction du code source soit un moyen efficace de protéger les mots de passe ou autres. Au cours de la recherche, heise online a pu utiliser des outils courants pour lire des chaînes de caractères semblables à des mots de passe dans un logiciel de la société Modern Solution, qui peut être téléchargé gratuitement sur Internet. L’opinion juridique dominante semble également contredire l’interprétation de Modern Solution. Par exemple, la Cour de justice des Communautés européennes (CJCE) vient de décider que l’ingénierie inverse pour la correction des erreurs est autorisée. Et c’est précisément pour cette raison que le programmeur avait examiné le logiciel et en avait décompilé certaines parties.

Modern Solution a déclaré à la police que le programmeur voulait apparaître comme un concurrent de l’entreprise – ce qu’il n’a pas nié à heise online – et qu’il essayait donc de nuire à l’entreprise. Le programmeur rejette cette idée. Il a déclaré vouloir révéler la faille de sécurité et la fuite de données le plus rapidement possible afin de protéger les clients.

Selon le protocole de recherche de la police, il a coopéré avec les agents et leur a même donné les mots de passe de ses appareils et des données cryptées. D’après nos informations, il n’a supprimé aucune donnée liée à l’affaire dans les presque trois mois qui se sont écoulés entre la divulgation publique de la violation et la recherche – comme l’aurait probablement fait immédiatement un attaquant malveillant.

« Dépêchez-vous ! »

Le bureau du procureur responsable à Cologne n’a pas voulu donner de détails à heise online lorsqu’on lui a demandé à plusieurs reprises. Cela laisse également sans réponse la question de savoir pourquoi plusieurs mois se sont écoulés entre la publication de la fuite et la perquisition. Les dossiers d’enquête contiennent la mention « Urgent ! » à plusieurs reprises, notamment sur une copie datant de début août.

Modern Solution n’a pas voulu faire de commentaires lorsqu’on lui a demandé. « En tant que société, nous avons décidé de ne pas répondre aux demandes de renseignements concernant une enquête en cours », a déclaré la société à heise online. « Nous sommes en train de rédiger notre propre déclaration et avons besoin de plus de temps pour le faire. Nous n’avons aucun intérêt à enflammer davantage la situation actuelle. » Cette déclaration n’a pas encore été publiée.

Fuite de données : les accusations portées contre un expert en informatique proviennent de Modern Solution

Données provenant de 700 000 clients

« Insider et concurrent »

Commentaire sur Solution moderne : l’Etat ne doit pas être le larbin des bunglers

La compilation protège-t-elle contre l’accès ?

« Dépêchez-vous ! »

Plus d'articles

L’intelligence artificielle fait des banques les moteurs du changement

Les jumeaux numériques en tant que catalyseur de transformation des modèles d’affaires

Que signifie ChatGPT pour l’interface client des banques de demain?

Intelligence Artificielle dans le Financement de la Construction

Comment la recherche de fonds peut relier les banques et les petites et moyennes entreprises.

Comment les écosystèmes numériques révolutionnent la banque d’affaires

Les plus lues

Encodage des petits-escroqueries : les criminels essaient maintenant aussi via WhatsApp

iOS: 12 applications gratuites ou réduites pour iPhone et iPad

WhatsApp : arnaque actuelle par le message de code

Sujet du moment