Un tribunal allemand a inculpé un programmeur enquêtant sur un problème informatique de piratage informatique et lui a infligé une amende de 3 000 €(3 265$) pour ce qu’il considérait comme un accès non autorisé à des systèmes informatiques externes et l’espionnage de données.
Selon le rapport original de Heise, le programmeur, opérant en tant que fournisseur de services informatiques indépendant, a été initialement chargé par un client de résoudre les problèmes de génération excessive de journaux avec le logiciel de gestion des marchandises qu’il utilisait.
Le programmeur a examiné le logiciel et a constaté qu’il établissait une connexion MySQL avec un serveur distant appartenant à Modern Solution GmbH, le fournisseur de logiciels de gestion.
Après s’être connecté à la base de données, il a été déterminé qu’elle contenait non seulement les données de son client, mais également celles de près de 700 000 autres clients de Modern Solution, ce qui constituait un important problème de confidentialité des données.
Lorsqu’il s’est rendu compte que la base de données contenait des données pour d’autres entreprises, le programmeur s’est déconnecté de la base de données distante et a travaillé avec un blogueur technique pour aider à informer le fournisseur de logiciels du problème de cybersécurité et de confidentialité.
Modern Solution GmbH a mis le serveur hors ligne pour résoudre le problème, niant qu’il y avait une faille de sécurité dans leurs systèmes. Le programmeur et blogueur technique a rapidement révélé le problème le jour même sans attendre un commentaire du fournisseur de logiciel de gestion.
Peu de temps après, l’entreprise a signalé le programmeur à la police pour accès non autorisé aux données exposées et à leur serveur de base de données.
Mot de passe stocké en texte brut
Le programmeur a déclaré au blog technique Word Filters que le logiciel de gestion avait été trouvé en train de se connecter à un serveur MySQL via Internet.
Pour déterminer à quoi servait la connexion à la base de données, le programmeur a extrait le mot de passe en clair de la connexion à la base de données MySQL de l’un des exécutables du logiciel de gestion.
L’accusation a fait valoir que le défendeur était allé jusqu’à décompiler le logiciel. Cependant, Heise a confirmé que le programmeur avait simplement répertorié les chaînes dans le MSConnect.exécutable exe pour trouver le mot de passe en clair.
Cependant, le tribunal a décidé que l’accès non autorisé à des données protégées par un mot de passe violait l’article 202c du Code pénal allemand, également connu sous le nom de paragraphe Hacker.
Le juge a cité un amendement législatif de 2007 sur le piratage, soulignant que la protection n’a pas besoin d’être robuste pour justifier une infraction.
Cependant, le juge a fait preuve d’une certaine clémence à l’égard du consultant, compte tenu de son casier judiciaire vierge, et a infligé une amende inférieure à celle exigée par l’accusation.
L’avocat du défendeur a fait valoir que son client avait agi dans l’intérêt du grand public, informant de manière responsable le fournisseur de logiciels de la faille de sécurité, et a critiqué les vues du tribunal sur la question comme dépassées.
Le programmeur a décidé de faire appel de la décision et l’affaire sera confiée à un tribunal régional supérieur d’Aix-la-Chapelle, où la décision pourrait jouer un rôle important en tant que précédent juridique.