La développeuse de logiciels Lilith Wittmann, qui a jusqu’à présent été accusée de diverses infractions présumées en raison de la divulgation de failles de sécurité dans l’application et la base de données CDU connect, ne fera pas l’objet d’une enquête supplémentaire. C’est ce qui ressort d’un article détaillé du blog de Wittmann.
Elle avait documenté de graves failles de sécurité en mai 2021 et les avait signalées au parti ainsi qu’au BSI et au commissaire à la protection des données de Berlin. L’application avait précédemment été mise hors ligne par le parti. CDU connect a été utilisé par les partisans du parti pendant la campagne de démarchage pour coordonner leurs visites. Toutefois, au cours de ce processus, des données personnelles, y compris les tendances politiques des citoyens, ont apparemment été documentées sur une période de plusieurs années. Ces données ont fini dans une base de données de la CDU. La CSU et le Parti populaire autrichien ÖVP ont utilisé des systèmes identiques.
Cette base de données, selon le récit de Wittmann à l’époque comme aujourd’hui, n’était absolument pas protégée : Il avait pu obtenir l’accès par de simples appels d’API sans avoir à surmonter les mécanismes les plus simples comme la demande d’un mot de passe. Le parquet de Berlin s’est rangé à cet avis. Dans les documents dont Wittmann a publié des extraits, on trouve une note d’un enquêteur : « Les données n’étaient donc pas protégées contre un accès non autorisé et, d’un point de vue technique, étaient publiquement récupérables. Cela signifie que le fameux « paragraphe pirate » 202 a/b/c du Code pénal n’est pas applicable.
Sommaire
Une plainte pénale a été déposée par la CDU
L’enquête avait été ouverte parce que l’Union Betriebs GmbH, c’est-à-dire la CDU, avait déposé une plainte pénale contre Wittmann. Lorsqu’elle a publié cette information sur Twitter, une discussion animée s’est engagée. Le CCC a annoncé qu’il ne signalerait plus les fuites à la CDU si une procédure d’enquête était ouverte à leur encontre malgré la procédure habituelle de « divulgation responsable ». Peu de temps après, le directeur exécutif fédéral de la CDU, Stefan Henning, a déclaré qu’ils avaient retiré la plainte – mais cela n’a pas servi à grand-chose dans cette affaire, car si une infraction pénale est connue, un bureau du procureur doit enquêter même sans plainte d’une partie lésée. C’est maintenant hors de question. M. Wittmann a également expliqué le déroulement des événements jusqu’à ce moment-là dans une interview accordée à heise online.
Malgré l’exonération de Wittmann, toute l’affaire comporte encore deux aspects secondaires importants : Tout d’abord, elle avait également été accusée d’avoir publié sur Pastebin les ensembles de données collectées avec CDU connect. Wittmann a toujours nié avoir stocké ou même publié les données, et le ministère public n’a pas non plus trouvé de preuves à cet égard. On ne sait toujours pas si les données ont existé sur Pastebin et, le cas échéant, comment elles y sont arrivées. Selon les autorités, il n’a pas non plus été possible d’établir que les données avaient été diffusées ailleurs.
L’examen par l’autorité de protection des données est toujours en cours.
D’autre part, une enquête est toujours en cours auprès du commissaire à la protection des données de Berlin. Maintenant qu’un parquet a découvert que les données personnelles des citoyens n’étaient pas protégées sur le web, la situation pourrait devenir assez désagréable pour le parti. La fin de l’enquête sur les éventuelles violations du GDPR n’est pas encore en vue, comme l’a indiqué l’autorité à heise online début août 2021.
En outre, la clôture de l’enquête à l’encontre de Wittmann devrait également permettre de faire enfin la lumière sur la question de savoir quand le paragraphe sur les pirates informatiques est applicable. La simple utilisation de fonctions d’accès standardisées à des données qui ne sont en aucun cas protégées en ligne n’est plus suffisante.
(jamais)