La CDU a répondu au signalement de plusieurs vulnérabilités dans une application de campagne électorale par une plainte pénale contre le lanceur d’alerte. Résultat : à l’avenir, le CCC ne signalera plus au parti les vulnérabilités de la CDU.
Afin de coordonner efficacement sa campagne électorale à domicile, la CDU gère une application appelée CDUconnect. Dans cette application, les nettoyeurs de portes chrétiens-démocrates collectent des données sur les personnes qui leur ont rendu visite chez eux.
La militante du CCC, Lilith Wittmann, a consacré quelques heures de son attention à cette application en mai 2021. Le résultat : non seulement les données personnelles de 18 500 collaborateurs de la campagne, y compris les adresses e-mail et les photos, mais aussi les données personnelles de 1 350 partisans de la CDU, y compris les adresses, leurs dates de naissance et leurs intérêts, n’étaient pas protégés et étaient librement accessibles sur Internet. Bien entendu, un demi-million de données sur les attitudes politiques des personnes contactées ne pouvaient manquer.
Elle a signalé les vulnérabilités de manière responsable aux organes responsables de la CDU, à l’Office fédéral de la sécurité de l’information et au délégué à la protection des données de Berlin. La base de données dangereuse a été désactivée peu de temps après et la CDU s’est engagée à y apporter des améliorations. Jusqu’ici, c’est si banal (malheureusement).
Déjà lors de l’échange avec le chercheur en sécurité, la CDU a promis une action en justice ; un premier élan commun de frustration et d’incompétence. L’obsession de signaler un chercheur en sécurité bénévole s’évapore généralement assez rapidement : signaler une vulnérabilité est un enseignement gratuit en matière de sécurité informatique et sert à protéger les près de 20 000 personnes concernées.
Dans de tels cas, la procédure de divulgation responsable s’est imposée dans la culture de la sécurité informatique : les découvreurs signalent la vulnérabilité, ne reçoivent aucune compensation et signalent publiquement la vulnérabilité lorsque le danger pour les personnes concernées a été évité.
Malheureusement, la CDU se montre extrêmement ingrate envers le tutorat volontaire. Elle a maintenant déposé une plainte pénale contre le militant du CCC auprès de la LKA. “Tirer sur le messager» est appelée la stratégie dysfonctionnelle consistant à ne pas résoudre le problème mais à attaquer ceux qui le signalent.
«La CDU ne le fait pas seulement dans ce cas-ci, mais aussi dans le domaine de la numérisation et d’autres problèmes politiques importants. À cet égard, cette approche destructrice n’est que logique.» a déclaré Linus Neumann, porte-parole du Chaos Computer Club.
Malheureusement, la CDU a unilatéralement mis fin à l’accord implicite, Mesdames et Messieurs, de divulgation responsable. “Afin d’éviter des litiges à l’avenir, nous sommes malheureusement contraints de ne plus signaler à l’avenir les vulnérabilités des systèmes CDU”, a annoncé Neumann.
Le CCC regrette expressément que cela augmente le risque de publications anonymes et complètes pour la CDU et ses partisans bénévoles. Par mesure de précaution, nous déclinons toute responsabilité quant aux futures publications de ce genre.
(Ceux : PM CCC)
#Tirer #sur #messager #Blog #Roberts
