La divulgation d’une vulnérabilité dans FreeHour, une application étudiante populaire, a de graves conséquences pour les découvreurs.

Une faille de sécurité énorme et dangereuse s’est ouverte dans l’application étudiante la plus populaire de Malte, FreeHour. Au lieu d’une récompense espérée, les étudiants qui ont découvert les vulnérabilités ont reçu la visite de la police. Ils ont été arrêtés, fouillés puis interrogés. Les autorités ont également confisqué tous les ordinateurs des étudiants en informatique et ne les ont pas restitués à ce jour.

FreeHour : de l’application étudiante préférée de Malte au cauchemar des étudiants

Les étudiants Giorgio Grigolo, Michael Debono, Luke Bjorn Scerri et Luke Collins voulaient juste attirer l’attention sur une faille de sécurité dans une application étudiante largement utilisée à Malte. Mais maintenant, elle risque quatre ans de prison et une amende pouvant aller jusqu’à 23 293 euros. « Tout ce que nous voulions, c’était aider »a déclaré Giorgio Grigolo au Times of Malta.

Les quatre étudiants en informatique ont découvert que l’application FreeHour, très populaire et fréquemment utilisée par les écoliers, était tout sauf sécurisée. Les adresses e-mail des étudiants, les données de localisation et les calendriers Google étaient potentiellement vulnérables. La vulnérabilité leur a même permis de récupérer des informations arbitraires sur les serveurs FreeHour.

En termes simples, chaque utilisateur de l’application était un administrateur sans même le savoir.

LucCollins

Une raison suffisante pour que les quatre étudiants signalent immédiatement la vulnérabilité au propriétaire et PDG de FreeHour, Zach Ciappara. Mais ce qui s’est passé ensuite, ils n’auraient pas rêvé. Car au lieu d’un « merci » ou même d’une petite récompense (bug bounty), un cauchemar bureaucratique a commencé pour les quatre amis étudiants en informatique.

Zach Ciappara : Nous sommes heureux d’annoncer qu’aucune donnée utilisateur n’a été compromise

Zach Ciappara n’a jamais répondu aux e-mails des quatre étudiants. Après avoir reçu le courriel des quatre étudiants en octobre, il a contacté directement le Bureau du commissaire à l’information et à la vie privée (IDPC) et l’unité locale de la cybercriminalité pour demander conseil.

Les étudiants font donc maintenant l’objet d’une enquête sur la base de l’article 337 du code pénal maltais, qui interdit l’accès à une candidature sans « personne dûment autorisée » expressément interdit.

Zach Ciappara dit avoir agi dans le cadre de la loi. Selon la loi, il était tenu de signaler immédiatement « l’incident » aux autorités responsables. Cependant, il n’est pas reconnu que la faille de sécurité continuerait probablement d’exister sans les quatre étudiants en informatique attentifs. Au contraire.

Trouver des failles de sécurité peut être punissable – également ici en Allemagne !

Trouver des failles de sécurité peut devenir un problème non seulement à Malte. Il faut faire attention ici en Allemagne aussi ! Parce que le paragraphe hacker (§ 202c StGB) a tout pour plaire.

On ne sait toujours pas ce qu’il adviendra des quatre étudiants maltais. Parce que les autorités d’enquête locales et le responsable maltais de l’information et de la protection des données, Ian Deguara, ont refusé de commenter l’affaire en raison de l’enquête en cours.