Le tribunal du district de Julich en Allemagne a récemment annoncé le dernier verdict, concluant qu'un programmeur a été puni pour avoir violé la clause dite de piratage 202a du Code pénal allemand (StGB) pour accès non autorisé à des systèmes informatiques tiers et espionnage de données .
En juin 2021, le chercheur Hendrik H. était en train de résoudre des problèmes logiciels pour un client de la société de services informatiques Modern Solution GmbH lorsqu'il a découvert que le code de Modern Solution était connecté à un serveur de base de données MariaDB via MySQL. Le mot de passe pour accéder au serveur distant est stocké en texte brut dans le fichier programme MSConnect.exe. Toute personne utilisant un simple éditeur de texte peut ouvrir le fichier pour afficher le contenu et trouver le mot de passe codé en dur non crypté.
C'est précisément grâce à ce mot de passe facilement disponible que n'importe qui peut se connecter au serveur distant pour accéder aux données des clients de Modern Solution, mais également accéder aux données de tous les clients du fournisseur stockées sur le serveur de base de données. Au total, la violation de la base de données a exposé près de 700 000 dossiers clients, notamment des noms, des adresses e-mail, des numéros de téléphone, des informations bancaires, des mots de passe et des journaux de conversations et d’appels.
Après avoir découvert la vulnérabilité, le programmeur a contacté l'entreprise concernée avec l'aide d'un blogueur technologique, Mark Steier, qui a ensuite corrigé la faille de sécurité et a appelé la police pour demander des comptes au programmeur. En septembre 2021, la police allemande a saisi l'ordinateur d'Hendrik H. après que Modern Solution l'a accusé d'avoir obtenu le mot de passe grâce à des informations internes et a affirmé qu'il était un concurrent.
En juin 2023, le tribunal de district de Jülich en Allemagne a soutenu le procès d'Hendrik H au motif que le logiciel Modern Solution était mal protégé. Cependant, le tribunal de district d'Aix-la-Chapelle a ordonné au tribunal de district de Jülich de réexaminer l'affaire et la décision initiale a été annulée. Le 17 janvier 2024, le tribunal de district de Jülich a finalement condamné Hendrik H. à une amende et aux frais de justice.
Ce jugement a inévitablement suscité une controverse parmi un grand nombre d’experts et de chercheurs en sécurité des réseaux. Steier a posté que la décision était fondamentalement erronée. "Les mots de passe conservés sous forme de texte presque brut ne constituent pas une" sécurité particulière "comme l'exige l'article 202. Il est compréhensible qu'un juge ne soit pas en mesure de juger cela, mais il faudrait alors écouter des experts en la matière. Malheureusement, cela ne s'est pas produit.
Cependant, le jugement n’est pas encore juridiquement contraignant. L'avocat de la défense du prévenu a fait valoir que son client avait agi dans l'intérêt public même si le tribunal le déclarait coupable. Le programmeur accusé a annoncé le 19 janvier qu'il faisait appel du verdict.