Le comté verse 600 000 dollars à des experts en pentest arrêtés lors d’un audit de sécurité du tribunal

• En 2019, deux experts en sécurité arrêtés lors d’un audit de sécurité d’un tribunal dans l’Iowa vont recevoir un accord transactionnel de 600 000 dollars dans le cadre d’une plainte pour arrestation abusive et diffamation
• Les deux hommes étaient des pentesters de Coalfire Labs et menaient un test d’intrusion de type “red team” officiellement autorisé par le pouvoir judiciaire de l’Iowa
• Le test précisait qu’il pouvait inclure des attaques physiques (crochetage de serrures, etc.), mais les autorités locales de sécurité les ont arrêtés pour vol criminel aggravé
• Les accusations ont ensuite été requalifiées en intrusion sans autorisation de niveau contraventionnel, mais le shérif du comté de Dallas a continué d’affirmer qu’il s’agissait d’un acte illégal et de les critiquer publiquement
• L’affaire est perçue comme un avertissement montrant que des experts en sécurité peuvent être arrêtés lors de tests légaux, et a déclenché des changements majeurs dans l’ensemble des procédures de test d’intrusion physique

Aperçu de l’affaire

• En 2019, Gary DeMercurio et Justin Wynn ont été arrêtés alors qu’ils effectuaient un contrôle de sécurité officiellement approuvé au tribunal du comté de Dallas, dans l’Iowa
  • Tous deux travaillaient pour Coalfire Labs, une société de sécurité basée dans le Colorado, et réalisaient une simulation d’intrusion “red team” avec l’autorisation écrite du pouvoir judiciaire de l’Iowa
  • Ce test visait à vérifier la robustesse des dispositifs de défense en reproduisant les méthodes d’intrusion de criminels ou de hackers réels
• Les règles autorisaient les attaques physiques (crochetage de serrures, etc.), à condition de ne pas provoquer de dommages importants

Arrestation et réponse judiciaire

• Les deux hommes ont été arrêtés pour vol au troisième degré, ont été détenus pendant 20 heures, puis libérés contre une caution de 50 000 dollars chacun
• Les charges ont ensuite été requalifiées en intrusion sans autorisation de niveau contraventionnel, mais le shérif du comté de Dallas, Chad Leonard, a continué à soutenir qu’il s’agissait d’un acte illégal et à les critiquer publiquement
• Tous deux ont intenté une action en justice pour arrestation abusive et diffamation et, six ans après les faits, vont recevoir un accord de 600 000 dollars

Impact de l’affaire

• Wynn a déclaré que « cette affaire n’a rendu personne plus en sécurité » et qu’elle a produit un effet dissuasif, montrant qu’aider les autorités à évaluer leurs vulnérabilités peut conduire à une arrestation, des poursuites et une diffamation
• Une telle atteinte à la réputation peut être fatale pour la carrière d’un expert en sécurité, et les clients eux-mêmes prennent également conscience du risque
• Après cette affaire, les procédures de test d’intrusion physique et les mécanismes d’autorisation ont connu des changements majeurs

Déroulement des faits

• À l’aube du 11 septembre 2019, les deux hommes ont constaté que la porte latérale du tribunal n’était pas verrouillée, l’ont refermée pour la verrouiller, puis sont entrés en déverrouillant le mécanisme par l’interstice
• Juste après leur entrée, l’alarme s’est déclenchée et la police est intervenue, menant à leur arrestation
• L’article explique que « si cette affaire a dégénéré au point d’échapper à tout contrôle, c’est à cause de la réaction du shérif ; dans la plupart des juridictions, une telle situation aurait été classée sans suite »

Réaction du secteur de la sécurité

• L’affaire a suscité une vive controverse parmi les professionnels de la sécurité et les responsables de l’application des lois
• Elle montre que même un test réalisé dans le cadre d’un contrat légal peut exposer à un risque de poursuites pénales, ce qui a renforcé la vigilance dans l’ensemble du secteur de la sécurité
• En conséquence, la nécessité de renforcer les procédures d’autorisation et les protections juridiques pour le pentest physique a été mise en avant