Un développeur allemand qui a révélé des identifiants codés en dur dans une application reconnu coupable de « piratage »

 (infosec.exchange)
1 points par GN⁺ 2024-01-20 | 1 commentaires | Partager sur WhatsApp

Le droit allemand fait de la recherche en sécurité une activité risquée

  • Un tribunal allemand a reconnu un développeur coupable de « piratage ».
  • Le développeur avait été chargé d’enquêter sur un logiciel qui générait trop de messages de journalisation, et a découvert que ce logiciel établissait une connexion MySQL avec le serveur de base de données de l’éditeur.
  • En vérifiant la connexion MySQL, il a constaté que la base de données contenait non seulement les données du client, mais aussi celles de tous les clients de l’éditeur. Il en a immédiatement informé l’éditeur, mais celui-ci a corrigé la faille tout en déposant plainte.

Décision du tribunal

  • Le tribunal a longuement débattu de la question de savoir si des identifiants de base de données codés en dur dans l’application — apparemment en clair, sans même nécessiter de décompilation — constituaient une mesure de protection suffisante pour justifier une accusation de piratage.
  • La décision du tribunal affirme que, puisqu’il y avait un mot de passe, un mécanisme de protection a été contourné, et que cela constitue donc un piratage.
  • Ce jugement a pour effet de transformer, au regard du droit allemand, la recherche en sécurité en piratage criminel dès lors qu’une quelconque « protection » existe, aussi défaillante soit-elle.

Réaction de la communauté

  • La communauté a partagé ses avis sur cette affaire à travers diverses analogies.
  • Certains soutiennent que l’utilisation d’identifiants codés en dur peut relever du piratage, mais que l’intention et les dommages causés doivent aussi être pris en compte.
  • D’autres soulignent que le logiciel de l’éditeur appelait une infrastructure externe non documentée et partageait potentiellement des données sensibles.
  • Il est également question de la nécessité d’auditeurs indépendants protégés par la loi, ainsi que des problèmes posés lorsque cela n’est pas réalisable.

L’avis de GN⁺

  • Cette affaire montre que le fait de découvrir et signaler des vulnérabilités peut exposer les chercheurs en sécurité à des risques juridiques.
  • La décision du tribunal met en lumière la tension entre la recherche en sécurité et la divulgation responsable, et lance un débat important sur la manière dont les cadres juridiques doivent s’accorder avec l’évolution technologique.
  • Elle laisse entendre que ce type de jugement pourrait avoir un effet dissuasif sur les chercheurs en sécurité, permettant à des entreprises aux pratiques de sécurité inadéquates d’échapper au problème et, au final, d’exposer les utilisateurs à des risques.

À lire aussi

1 commentaires

 
GN⁺ 2024-01-20
Avis Hacker News

  • Le titre est déroutant et semble proche du clickbait

    • Le titre de l’article est déroutant et frôle le clickbait. En réalité, le problème n’est pas d’avoir exposé les identifiants de la base de données, mais de les avoir utilisés pour se connecter au serveur de base de données d’un tiers. C’est un gros problème à cause des dispositions pénales StGB 202 ff., qui rendent pratiquement impossible la recherche en sécurité en Allemagne.

  • Le problème de la recherche en sécurité en Allemagne

    • En Allemagne, il n’y a pratiquement pas eu de jeunes ingénieurs intéressés par la sécurité depuis environ 20 ans, et les personnes formées sont rares. Les grandes entreprises ont aspiré tous les talents compétents, et les meilleurs sont partis à l’étranger. Résultat : la plupart des PME allemandes se font pirater chaque jour, et comme personne ne mène d’audit, tout ce qui est connecté au réseau devient un risque de sécurité.

  • Conseil juridique

    • Espérer que cette affaire soit rejetée par une juridiction supérieure est très naïf. Le prévenu va perdre des années à traverser plusieurs étapes de la procédure judiciaire et dépenser environ 100 000 euros en frais d’avocat. Tout cela parce que l’entreprise n’a pas su protéger correctement ses données. S’il n’existe pas de programme de bug bounty clair, si ce n’est pas votre entreprise ou si vous n’avez pas été embauché pour chercher des failles, il est conseillé de ne pas faire de ce problème le vôtre.

  • Réaction des experts allemands en sécurité

    • Certains professionnels allemands expérimentés de la sécurité de l’information sont tellement en colère face à cette situation qu’ils refusent d’aider les autorités publiques lorsque des incidents se produisent. Ils décrivent cela par l’expression « apprendre par la souffrance ».

  • Comparaison avec le droit britannique

    • Je ne suis pas certain du droit allemand, mais au Royaume-Uni, cela serait clairement considéré comme un cas de computer misuse et traité comme une affaire simple.

  • Nécessité de réviser la loi

    • La loi semble devoir être réécrite. L’intention compte, et ce « hacker » ne semble pas avoir voulu nuire. L’entreprise a exposé ses propres vulnérabilités, puis cherche à punir la personne qui les a révélées.

  • Cas similaire

    • Cela ressemble à un cas où le décodage de numéros de sécurité sociale encodés en BASE64 a été considéré comme du « piratage ».

  • Cas d’une startup foodtech néerlandaise

    • En travaillant avec PostNL, nous avons eu accès à des données d’autres clients, mais nous avons décidé de ne pas les utiliser afin d’éviter toute responsabilité juridique. L’entreprise aurait dû le signaler légalement, mais ne l’a pas fait.

  • Attitude générale vis-à-vis de la sécurité

    • Beaucoup de cas de « piratage » reviennent à laisser la porte d’entrée grande ouverte. Quand quelqu’un se fait voler après avoir laissé sa porte ouverte, il ne reçoit guère de sympathie, mais lorsqu’une entreprise néglige sa sécurité, la colère se retourne contre les hackers.

  • Une situation contraire à la logique de la bonne foi

    • Si l’on découvre un problème, la situation veut qu’il ne faille rien dire et ne rien faire. Je me demande s’il serait légal de soupçonner un problème, de s’arrêter là, puis de vendre l’action de l’entreprise à découvert.

  • Que faire lorsqu’on découvre un problème

    • Même si vous découvrez un problème, il vaut mieux l’ignorer. Même signaler qu’un mot de passe est visible revient déjà à prendre un risque. Utiliser le mot de passe est encore plus à éviter.

  • Article 202a du code pénal

    • Il traite de « l’accès à des données spécialement protégées contre un accès non autorisé par des mesures particulières », et un mot de passe hardcodé dans le client entre aussi dans ce cadre.