Intel a t il obtenu un brevet pour larchitecture AMD Zen

Le spécialiste condamné est une plainte constitutionnelle suffisante dans le blog IT et Windows d’Einborn

par

paragrapheUn court addendum en termes de décision de justice contre un spécialiste informatique qui a révélé, signalé et publié un écart de sécurité dans le logiciel de Modern Solutions. L’homme est désormais légalement condamné à une pénalité de 3 000 euros. En raison du jugement de l’Olg Cologne en juillet 2025, le condamné avait eu une plainte constitutionnelle concernant son avocat à Karlsruhe.

Le cas de solution moderne

, Le spécialiste condamné est une plainte constitutionnelle suffisante dans le blog IT et Windows d’EinbornLa brève démolition des faits originaux: un spécialiste informatique qui était responsable d’un dépannage pour un client, une connexion de base de données à un serveur externe a été remarquée lors de l’installation d’un logiciel (revendeur) dans lequel les données n’ont pas été sécurisées.

Il s’agissait d’un serveur de serveur de commerce électronique de la solution moderne GmbH & Co. KG, et la connexion de la base de données était des données de concessionnaires personnelles (commandes, adresses et également des données de compte) de centaines de milliers de clients pour des tiers via Internet ou peuvent être consultés (voir les données clients à partir de marchés en ligne (Otto, Kaufland, Check24 …).

Le spécialiste informatique a signalé le problème avec la solution moderne et est devenu plus tard public via le blog Wordfilter au public parce que l’écart de sécurité n’a pas été corrigé.

Cela a provoqué une solution moderne à une publicité; Le procureur de Cologne a engagé des procédures pénales, notamment la perquisition de la maison avec la saisie de l’accusé. L’allégation portait sur une violation des § 202a et du §205 STGB (préparation de l’espionnage et de l’interception des données, recyclage des secrets étrangers).

Jurisprudence au-delà de la pratique?

Ce qui a suivi était un marathon de processus, seulement devant le tribunal de district de Jülich, puis devant le tribunal de district à Aix-un et enfin devant le tribunal régional supérieur de Cologne. Après diverses négociations devant les tribunaux, le découvreur du point faible a été condamné à une amende de 3 000 euros par le tribunal de district Jülich sur la base du « paragraphe de pirate » (voir le tribunal de district Jülich a condamné le découvreur du point faible de la solution moderne (janvier 2024), jugement 17 CS-230 JS 99 / 21-55/23). Le juge a vu un acte criminel selon le §202a ff. STGB dans l’utilisation de phpmyadmin pour accéder à la base de données des solutions modernes.

Le tribunal de district d’Aix-un a confirmé lors de l’audience d’appel du jugement du tribunal de district. La procédure a été consacrée à la Cour régionale supérieure de Cologne, qui a confirmé le jugement de la Cour régionale d’Aix-la-Chambre du 4 novembre 2024 fin juillet 2025. Le jugement de la Cour régionale supérieure de Cologne est maintenant définitif, le spécialiste informatique doit payer les 3000 euros en amende. Heise avait dans l’article une solution moderne fin août 2025: l’expert informatique condamné est une plainte constitutionnelle suffisante.

Le problème du jugement

Je ne suis moi-même pas un avocat et une position zéro en ce qui concerne les subtilités légales de la loi procédurale. Dans l’article de la procédure de « solution moderne », j’avais abordé l’évaluation juridique de l’affaire par l’avocat concerné. Dans une contribution LinkedIn, l’avocat note que les questions juridiques ont été retirées des cas du tribunal, mais les questions juridiques pertinentes n’auraient pas été claires. Les points de collation:

  • Si un fournisseur de services informatiques découvre un trou de sécurité pour un client dans le cadre de son travail, peut-il le divulguer?
  • Il est permis de les vérifier et de les documenter à faible seuil au cours de la découverte de l’écart de sécurité.

Un autre avocat, RA Kramarz, a retracé les faits dans cet article et a mis les pièges légaux pour le découvreur des lacunes de sécurité. La question: « Si je découvre un écart de sécurité dans lequel j’obtiens potentiellement un accès aux données personnelles, je peux alors vérifier par accès que l’accès fonctionne également? », Qui soulève le jugement non provisoire des juges, je ne suis même pas abordé. Selon ma lecture, le tribunal a déclaré dans son jugement que si un écart de sécurité est découvert, il doit être annulé immédiatement afin de ne pas être punissable.

Le jugement juridiquement contraignant suggère que la découverte d’un point faible ne le signale pas – du moins pas lorsqu’il est sage – et n’a pas été chargé par l’entreprise de découvrir les faiblesses en tant que pentester. Restez donc silencieux pour éviter une responsabilité pénale potentielle. Légalement, au moins à mes yeux, la culture de la sécurité informatique en Allemagne s’est avérée être un combat.

Roman du paragraphe de pirate sur un long chemin

En raison de la situation difficile, le gouvernement fédéral précédent sous le ministre de la Justice Marco Buschmann (FDP) prévoyait de modifier les paragraphes 203 du Code pénal et il y avait même un projet de loi. Ce dernier voulait « dépénaliser » les lacunes de sécurité par des chercheurs en sécurité.

Heise a résumé le statut à cette époque de l’automne 2024 dans cet article. En raison de la coalition de rafale, l’amendement du §203 a à c au cours de la période législative précédente est devenue l’histoire, et si ce qui vient dans cette période législative est dans les étoiles – je ne m’attends plus à rien.

Ce qui reste, c’est la presse en tant que relais

Quiconque rencontre actuellement un point faible et ne s’exposent pas au risque du paragraphe 203 STGB FF. Lorsqu’il est signalé à la presse, l’organe de presse peut revendiquer la protection des sources.

Les lecteurs de blog l’ont géré plusieurs fois dans le passé en me donnant (parfois même anonymement) les informations sur la vulnérabilité. Étant donné que je n’ai jamais été traité dans ces cas ou que j’avais accès aux systèmes concernés, et je n’ai également publié aucune capture d’écran de données ou de détails, §203 AC ne s’applique pas à moi – et pour la source, j’ai revendiqué la protection des sources ou que je ne les connaissais même pas.

Selon l’affaire, j’ai même allumé le BSI ou le responsable de la protection des données de l’État pour signaler. Dans certains cas, où j’ai dit que c’était l’opportunité, j’ai également eu un contact direct avec les responsables des entreprises. Après l’élimination du point faible, les informations ont ensuite été documentées dans le blog dans le cadre d’une divulgation responsable. Mais c’est une procédure élaborée et longue.

Plainte constitutionnelle soumise à Karlsruhe

Je n’ai pas de numéro de dossier pour le jugement de l’Olg Cologne, qui est attendu ci-dessus. Mais Heise avait dans l’article une solution moderne fin août 2025: l’expert informatique condamné est suffisant pour une plainte constitutionnelle que le jugement de l’OLG épuise les options juridiques de l’expert informatique. Il doit payer les 3 000 amendes et les frais juridiques.

Cependant, comme les questions juridiques fondamentales ne sont pas claires et que l’avocat se plaint également du contentieux « étrange » à son avis, il a soumis une plainte constitutionnelle à la Cour constitutionnelle fédérale pour son client. L’accusation d’une procédure injustement guidée est dans la salle. En outre, le jugement avait limité la loi constitutionnelle de l’accusé à la pratique professionnelle libre (art. 12 gg).

La Cour constitutionnelle fédérale vérifie et décide si la plainte constitutionnelle est acceptée et a une perspective de succès. Nous ne le découvrirons qu’après plusieurs mois. En conversation avec Heise, l’avocat condamné a exprimé son espoir que même le rejet de Karlsruhe pourrait donner des informations sur la façon dont les experts informatiques s’occupent des lacunes de sécurité trouvées à l’avenir. Dans la contribution ci-dessus, Heise répond aux déclarations des faits par l’avocat, et mentionne les juges – du point de vue de la pratique – que même un mot de passe stocké dans le code source est déjà une « sécurité spéciale », c’est-à-dire §2023c. Dans le cas des chercheurs en sécurité, les données d’accès fixe dans les logiciels, en revanche, sont considérées comme un écart de sécurité ou une porte dérobée qui doit être supprimée.

Si la plainte constitutionnelle est acceptée, une clarification supplémentaire par la Cour constitutionnelle fédérale pourrait être clarifiée en termes de «paragraphe de pirate» (§203C). L’affaire montre à nouveau ce qui ne va pas en Allemagne à ce sujet.

Articles similaires:
Données clients des marchés en ligne (Otto, Kaufland, Check24 …)
Fuite de données pour les plates-formes d’achat allemandes (700 000 données clients en ligne)
Le développeur rapporte une feuille de données moderne-solaire, sur la publicité et la recherche de maisons
Fuite de données de solution moderne: l’affichage contre les développeurs provenait du fabricant
Affichage de la solution moderne: procédures contre les découvreurs d’un point faible devant le tribunal
Expert informatique, qui a rendu public la faiblesse des solutions modernes, doit maintenant aller devant les tribunaux
Le jugement de la LG Aachen (solution moderne Case Schwachtell) est disponible
Audience principale contre le découvreur du point faible de la solution moderne en janvier 2024
Le tribunal de district Jülich a condamné le découvreur de la solution moderne Schwachenstelle (janvier 2024)
Le tribunal de district d’Aix-un confirme le jugement contre le découvreur d’une faiblesse de solution moderne
État dans le processus de « solution moderne »

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners. View more
Cookies settings
Accept
Privacy & Cookie policy
Privacy & Cookies policy
Cookies list
Cookie name Active
diudei.fr Photo de la page Informations légales

Politique de confidentialité:

CGU certifiées à la RGPD

Quelle durée de mémorisation de vos données:

Au cas où vous enregistrez un texte, le texte et ses données complémentaires sont classés indéfiniment. Cela suppose de rapporter et approuver mécaniquement les commentaires consécutifs au lieu de les maintenir dans la queue de modération.Lorsque les espaces personnels qui s’inscrivent sur notre site (au cas où), nous sauvegardons aussi les informations privées signalées dans leur espace privatif. La totalité des espaces individuels savent voir, modifier ou supprimer leurs datas privées n'importe quand. Les responsables du site peuvent aussi agir sur ces datas.

Protection sur vos informations:

Au cas où vous avez un profil ou si vous avez laissé des commentaires sur le site, vous pouvez de demander à réceptionner un dossier numérique introduisant toutes les données individuelles que nous détenons à votre propos, contenant celles que vous nous avez partagées. Vous avez le droit également de réclamer l'effacement des informations personnelles à votre sujet. Cette fonctionnalité ne concerne pas les informations engrangées à des fins de statistiques, légales ou avec pour objectif de sécurité.

Médias:

Si vous uploadez des photographies sur le site, nous vous recommandons de ne pas le faire des photos incluant des tags EXIF de positionnement GPS. Les personnes surfant sur ce site ont la possibilité de capter des informations de détection à partir de ces fichiers.

Utilisation de vos données privatives:

Tous commentaires des internautes peuvent être contrôlés en utilisant un système mécanisé de détection des commentaires suspects.

Contenu emporté depuis d’autres sites:

Les posts de ce site sont susceptibles d'insérer des datas placées (par exemple des vidéos, images, passages…). Le contenu embarqué à partir d’autres sites se comporte de la même manière que si l'utilisateur explorait cet autre site.Ces sites web ont la possibilité de charger des datas vous concernant, utiliser des cookies, télécharger des programmes de contrôles autres, poursuivre vos interventions avec ces contenus emportés si vous avez un compte interfacé sur leur site internet.

Emploi et communication de vos informations privées:

Lorsque vous voulez une désactivation de votre password, votre adresse IP sera comprise dans l’e-mail de désactivation.

A propos des cookies:

Lorsque vous déposez un texte sur le site, vous serez amenés à enregistrer votre nom, e-mail et site dans des cookies. C’est uniquement pour votre facilité d'utilisation afin de ne pas avoir à redonner ces informations si vous déposez un nouveau texte ultérieurement. Ces cookies cessent au terme d’un an.Quand vous vous rendez sur la partie de connexion, un cookie transitoire va se provoqué afin de repérer si votre programme de navigation admets les cookies. Il ne comprend pas de datas privatives et sera ôté automatiquement dès vous arrêterez votre logiciel de navigation.Au cas où vous vous connectez, nous animons certains cookies afin d'identifier vos datas de connexion et vos préférences d'utilisation. La longévité d'existence d’un cookie de connexion est de deux jours, celle d’un cookie de navigation est de l'ordre de l'année. Au cas où vous validez « Se souvenir de moi », le cookie de l'enregistrement sera stocké durant plusieurs jours. Au cas où vous vous déconnectez de votre espace personnel, le cookie de login sera perdu.Au cas où vous modifiez ou en publiant une page, un cookie additif sera admis dans votre logiciel de navigation. Ce cookie n'est constitué d'aucune information privée. Il dit simplement le numéro de l'article que vous avez décidé de corriger. Il disparaît au bout de 24 heures.

Les textes :

Quand vous écrivez un texte sur ce site, les données insérées dans le formulaire électronique, ainsi que votre adresse IP et l’agent usager de votre logiciel de navigation sont collectés avec pour objectif de nous donner la possibilité de détecter des textes interdits.
Save settings
Cookies settings