Navigation
Les derniers articles
Suivez en direct

Pentest en Iowa : 600 000 dollars pour une arrestation abusive

Photographie teintée en bleu montrant deux agents du bureau du shérif, de dos, en train de menotter une personne. On aperçoit leurs uniformes marqués "SHERIFF" et leurs ceinturons d'équipement.
Un comté américain indemnise des experts arrêtés malgré un contrat valide de l’État. Ce règlement de 600 000 dollars clôt sept ans de conflit sur le red teaming.

TL;DR : L’essentiel

  • Deux experts en intrusion mandatés par la branche judiciaire de l’Iowa ont été arrêtés lors d’une mission officielle. Malgré un contrat valide, ils ont subi des poursuites pour cambriolage aggravé.
  • Pour tester la sécurité, les agents ont refermé une porte entrouverte avant de forcer le verrou avec un outil plat. Cette manœuvre technique visait à vérifier le déclenchement réel des alarmes.
  • Les policiers sur place ont d’abord validé les documents officiels présentés par les techniciens. Cependant, le shérif local a ordonné leur incarcération, contestant la légitimité de l’autorisation accordée par l’État.
  • Après six ans de litige, un règlement de 600 000 dollars a été conclu. Ce montant vise à compenser les préjudices professionnels et réputationnels subis par ces experts en cybersécurité.

L’issue de ce litige judiciaire en Iowa marque un tournant pour la reconnaissance légale des activités de sécurité offensive. En septembre 2019, ce qui devait être un test de pénétration routinier s’est transformé en un conflit institutionnel majeur. Des experts, agissant sous un contrat explicite avec la branche judiciaire de l’État, ont été traités comme des cambrioleurs par les autorités d’un comté local. Cet événement a mis en lumière une faille non pas technique, mais administrative : l’incapacité des forces de l’ordre locales à respecter une autorisation émanant d’une instance supérieure. La résolution financière de 600 000 dollars vient sanctionner une arrestation jugée abusive, tout en soulignant la fragilité statutaire des agents de la sécurité physique lors des simulations d’attaques réelles.

Un mandat officiel ignoré face à l’autorité locale

La mission de type red team visait à éprouver la résistance physique des tribunaux. Les règles d’engagement, signées par l’autorité judiciaire de l’Iowa, autorisaient explicitement les attaques physiques et le crochetage des serrures. Lors de leur intervention nocturne, les agents ont constaté qu’une porte d’entrée était restée entrouverte, un défaut de sécurité majeur. Pour réaliser un test rigoureux, ils ont refermé cette porte pour la verrouiller de l’extérieur. Ils ont ensuite utilisé un outil plat spécifique qu’ils ont glissé dans la jointure de la porte pour manipuler le mécanisme de verrouillage et pénétrer à nouveau dans les locaux. Selon Ars Technica, cette manœuvre précise visait à déclencher volontairement l’alarme pour mesurer les délais d’intervention.

Lorsque les premiers policiers sont arrivés sur les lieux environ 40 minutes après l’alerte, les experts sont sortis d’eux-mêmes pour présenter leur mandat. Les documents ont été vérifiés et les identités confirmées dans un climat initialement serein. La situation a dégénéré avec l’arrivée du shérif du comté, qui s’est déclaré offensé de ne pas avoir été prévenu de l’audit dans sa juridiction. Ignorant le contrat d’État présenté, il a ordonné l’arrestation immédiate des deux professionnels. Cette décision a conduit à leur incarcération et à une mise en examen pour cambriolage au troisième degré, une accusation criminelle passible de plusieurs années de détention.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Les risques d’une coordination défaillante entre administrations

L’arrestation a déclenché une crise de confiance au sein de la communauté de la cybersécurité. Pour les experts concernés, l’expérience a été traumatique, transformant une réussite technique en un litige de près de sept ans. Comme le détaille Dark Reading, la caution a été fixée à un montant total de 100 000 dollars. Au-delà de l’enfermement, c’est la réputation des intervenants qui a été attaquée. Des responsables administratifs, craignant pour leur propre responsabilité, auraient même tenté de nier l’existence du contrat initial ou de supprimer des traces de communications électroniques. Ce comportement a laissé les testeurs dans une impasse juridique, coincés entre une mission d’État et une répression locale.

Le préjudice subi ne se limite pas aux frais de justice. Les carrières de ces professionnels ont été durablement impactées par la publicité négative autour de l’affaire. Bien que les charges aient été finalement abandonnées, le shérif a continué de soutenir publiquement que leurs actions étaient illégales. Cette affaire envoie un signal inquiétant aux prestataires de sécurité : un mandat valide ne garantit pas une immunité face à l’arbitraire local. Pour sécuriser ces interventions, les experts préconisent désormais d’enregistrer les échanges lors de la signature des contrats et d’exiger une protection juridique explicite contre toute poursuite émanant de subdivisions administratives tierces.

L’accord de 600 000 dollars met un terme à cette bataille, mais la méfiance demeure. Le procureur local a prévenu que toute intrusion future, même mandatée, ferait l’objet de poursuites systématiques. Cette position illustre la persistance d’une incompréhension entre les autorités de sûreté et les professionnels du red teaming. Pour l’industrie, cette affaire souligne l’importance d’une communication tripartite entre le client, le prestataire et les forces de police locales avant toute intervention nocturne. L’identification des vulnérabilités physiques est un service public essentiel qui ne doit plus conduire à la criminalisation de ceux qui l’exercent, pourvu que le cadre contractuel soit respecté avec la rigueur dont ont fait preuve ces experts en Iowa.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.