Le comté verse 600 000 dollars à des experts en pentest arrêtés lors d’un audit de sécurité du tribunal

 (arstechnica.com)
1 points par GN⁺ 2026-01-31 | 1 commentaires | Partager sur WhatsApp
  • En 2019, deux experts en sécurité arrêtés lors d’un audit de sécurité d’un tribunal dans l’Iowa vont recevoir un accord transactionnel de 600 000 dollars dans le cadre d’une plainte pour arrestation abusive et diffamation
  • Les deux hommes étaient des pentesters de Coalfire Labs et menaient un test d’intrusion de type “red team” officiellement autorisé par le pouvoir judiciaire de l’Iowa
  • Le test précisait qu’il pouvait inclure des attaques physiques (crochetage de serrures, etc.), mais les autorités locales de sécurité les ont arrêtés pour vol criminel aggravé
  • Les accusations ont ensuite été requalifiées en intrusion sans autorisation de niveau contraventionnel, mais le shérif du comté de Dallas a continué d’affirmer qu’il s’agissait d’un acte illégal et de les critiquer publiquement
  • L’affaire est perçue comme un avertissement montrant que des experts en sécurité peuvent être arrêtés lors de tests légaux, et a déclenché des changements majeurs dans l’ensemble des procédures de test d’intrusion physique

Aperçu de l’affaire

  • En 2019, Gary DeMercurio et Justin Wynn ont été arrêtés alors qu’ils effectuaient un contrôle de sécurité officiellement approuvé au tribunal du comté de Dallas, dans l’Iowa
    • Tous deux travaillaient pour Coalfire Labs, une société de sécurité basée dans le Colorado, et réalisaient une simulation d’intrusion “red team” avec l’autorisation écrite du pouvoir judiciaire de l’Iowa
    • Ce test visait à vérifier la robustesse des dispositifs de défense en reproduisant les méthodes d’intrusion de criminels ou de hackers réels
  • Les règles autorisaient les attaques physiques (crochetage de serrures, etc.), à condition de ne pas provoquer de dommages importants

Arrestation et réponse judiciaire

  • Les deux hommes ont été arrêtés pour vol au troisième degré, ont été détenus pendant 20 heures, puis libérés contre une caution de 50 000 dollars chacun
  • Les charges ont ensuite été requalifiées en intrusion sans autorisation de niveau contraventionnel, mais le shérif du comté de Dallas, Chad Leonard, a continué à soutenir qu’il s’agissait d’un acte illégal et à les critiquer publiquement
  • Tous deux ont intenté une action en justice pour arrestation abusive et diffamation et, six ans après les faits, vont recevoir un accord de 600 000 dollars

Impact de l’affaire

  • Wynn a déclaré que « cette affaire n’a rendu personne plus en sécurité » et qu’elle a produit un effet dissuasif, montrant qu’aider les autorités à évaluer leurs vulnérabilités peut conduire à une arrestation, des poursuites et une diffamation
  • Une telle atteinte à la réputation peut être fatale pour la carrière d’un expert en sécurité, et les clients eux-mêmes prennent également conscience du risque
  • Après cette affaire, les procédures de test d’intrusion physique et les mécanismes d’autorisation ont connu des changements majeurs

Déroulement des faits

  • À l’aube du 11 septembre 2019, les deux hommes ont constaté que la porte latérale du tribunal n’était pas verrouillée, l’ont refermée pour la verrouiller, puis sont entrés en déverrouillant le mécanisme par l’interstice
  • Juste après leur entrée, l’alarme s’est déclenchée et la police est intervenue, menant à leur arrestation
  • L’article explique que « si cette affaire a dégénéré au point d’échapper à tout contrôle, c’est à cause de la réaction du shérif ; dans la plupart des juridictions, une telle situation aurait été classée sans suite »

Réaction du secteur de la sécurité

  • L’affaire a suscité une vive controverse parmi les professionnels de la sécurité et les responsables de l’application des lois
  • Elle montre que même un test réalisé dans le cadre d’un contrat légal peut exposer à un risque de poursuites pénales, ce qui a renforcé la vigilance dans l’ensemble du secteur de la sécurité
  • En conséquence, la nécessité de renforcer les procédures d’autorisation et les protections juridiques pour le pentest physique a été mise en avant

À lire aussi

1 commentaires

 
GN⁺ 2026-01-31
Commentaires sur Hacker News

  • La police est arrivée sur place, a interpellé les hommes, a vérifié l’autorisation officielle qu’ils présentaient, puis a même appelé le responsable pour confirmer que tout était en règle
    Mais dès l’arrivée du shérif, il a ordonné leur arrestation. Au final, le problème venait d’une seule personne qui ne comprenait pas la situation, et en plus c’était la personne en position d’autorité

    • Plus que de l’ignorance de la part du shérif, on dirait surtout qu’il voulait engager un bras de fer de pouvoir
    • D’après l’article, l’ambiance a brusquement changé à l’arrivée du shérif Leonard. Il a affirmé : « ce bâtiment est sous ma juridiction », soutenant qu’il s’agissait d’une intrusion qu’il n’avait pas approuvée. C’était probablement simplement une question d’ego, ou de mécontentement d’avoir été mis à l’écart
    • Sur le plan juridique, l’arrestation pouvait peut-être être une mesure de précaution jusqu’à vérification de l’authenticité des documents. Le vrai problème, c’est la réaction absurde qui a suivi

  • Je me souviens avoir lu des articles quand cette affaire a éclaté. Heureusement, l’issue reste malgré tout plutôt positive
    À noter que le fil HN publié juste après l’arrestation est ici

    • Dépenser 600 000 dollars en six ans de bataille judiciaire tout en affrontant des accusations criminelles, c’est vraiment horrible
    • Il y a aussi un épisode de Darknet Diaries où les deux pentesters sont interviewés

  • Les faits remontent à 2019, et les rouages de la justice tournent vraiment lentement

    • Ceux des procédures civiles tournent encore plus lentement
    • Une justice différée n’est pas une justice
    • Passer 10 % de sa vie d’adulte dans une bataille judiciaire, c’est absurde
    • Seuls les riches peuvent influer sur cette cadence

  • Je me souviens à quel point cette affaire était ridicule à l’époque. Le shérif aurait dû être destitué, mais obtenir 100 000 dollars par an de compensation pour l’incompétence du comté de Dallas reste malgré tout une meilleure issue

  • C’est exactement le genre d’histoire que j’ai envie de voir sur Hacker News

  • Heureux que les charges aient été abandonnées, mais si on regarde la couverture initiale, l’affaire avait un contexte bien plus complexe que ce que l’article laisse entendre
    L’article d’Ars Technica de 2019 indique que,

    • quand la police a appelé les contacts figurant sur l’autorisation, l’un a nié avoir approuvé une « intrusion physique » et l’autre n’a pas répondu. On peut se demander ce que la police était censée faire dans une telle situation
    • le contrat contenait une formule ambiguë disant de « ne pas forcer l’ouverture des portes », et les deux hommes ont déclaré avoir ouvert une porte verrouillée avec des outils. La formulation aurait dû être plus précise
    • il y avait une clause interdisant de « manipuler les alarmes », mais la police a affirmé qu’ils avaient essayé de le faire. Les deux hommes l’ont nié
    • le fait qu’il y ait eu consommation d’alcool avant l’intrusion pose aussi problème. Avec un taux d’alcoolémie de 0,05, il devait être plus élevé au départ
    • le fait de s’être cachés au lieu de s’identifier immédiatement quand l’alarme a sonné et que la police est arrivée sortait également du cadre du contrat
      En conclusion, la sur-réaction du shérif était fautive, mais les pentesters non plus n’ont pas eu un comportement parfaitement exemplaire
    • J’ai déjà réalisé ce type de tests d’intrusion physique, et nous avions toujours sur nous le numéro personnel du responsable ainsi qu’un énoncé des travaux signé. Une situation où aucun contact d’urgence n’est joignable m’aurait paru impensable.
      L’alcool et toute dégradation de biens étaient absolument interdits, et si la police se présentait arme au poing, nous ne nous cachions jamais.
      Comme ces tests sont risqués, nous intégrions à l’équipe des anciens militaires ou policiers pour garantir la sécurité
    • Cela dit, si j’avais dû tester une intrusion dans un tribunal, honnêtement, j’aurais peut-être bu une ou deux bières pour me détendre.
      D’après l’article, les « attaques physiques » et le « crochetage de serrures » étaient autorisés, et dans les faits ils auraient ouvert une porte verrouillée sans l’endommager
    • Les pentesters portent aussi une part de responsabilité, mais comme les déclarations de la police ne sont pas toujours exactes ou honnêtes, j’ai du mal à leur faire totalement confiance
    • Au fond, tout cela aurait dû être réglé en quelques heures. L’affaire a pris de l’ampleur à cause d’une lutte de pouvoir entre le tribunal et le comté, et avec un avocat, quelqu’un aurait probablement dit dès ce soir-là : « cela va coûter très cher »
    • À noter que la police a accepté un accord à 600 000 dollars, il ne s’agit pas simplement d’un abandon pur et simple

  • Le secteur public dit ne pas réussir à recruter, puis il fait ce genre de choses. Et en plus, ce shérif était probablement élu

  • Pour quiconque se retrouverait dans une situation similaire à l’avenir, il faut absolument prévenir à l’avance la police locale par écrit, par téléphone et en personne
    Le plus sûr est d’obtenir l’accord préalable de la police ou une no-objection letter. Il faut aussi partager tous les documents avec son avocat. Le monde n’est pas bienveillant

    • Ils avaient obtenu une autorisation écrite et une confirmation orale du tribunal de l’État, mais ils n’avaient pas anticipé les frictions entre le pouvoir judiciaire et le shérif
    • En pratique, les policiers sur place ont bien réagi. Après vérification d’identité, ils les ont immédiatement relâchés, et le problème vient d’un shérif arrivé plus tard qui a aggravé la situation
    • Mais dans la réalité, quand un signalement arrive, la police se déplace systématiquement pour évaluer la situation. J’ai vécu quelque chose de semblable en gérant autrefois un stand de tir. Au final, c’était simplement : « s’il y a un signalement, on intervient »
    • Bien sûr, prévenir la police à l’avance peut réduire l’authenticité du test
    • Si l’objectif de l’État était d’évaluer le niveau de sécurité du comté, un préavis pourrait au contraire invalider le test. La réaction du shérif suscite le soupçon qu’il y avait peut-être quelque chose à cacher

  • Dommage que cela se soit terminé par un accord. Je comprends que les plaignants n’aient pas voulu poursuivre davantage, mais l’abus de pouvoir du shérif aurait absolument dû être sanctionné

    • Le shérif Chad Leonard a pris une retraite anticipée en 2022 (lien vers l’article)
    • Comme c’était un responsable public élu, c’était en fin de compte aux électeurs de le juger dans les urnes