Navigation
Les derniers articles
Suivez en direct

Pentest en Iowa : 600 000 dollars pour une arrestation abusive

Photographie teintée en bleu montrant deux agents du bureau du shérif, de dos, en train de menotter une personne. On aperçoit leurs uniformes marqués "SHERIFF" et leurs ceinturons d'équipement.
Un comté américain indemnise des experts arrêtés malgré un contrat valide de l’État. Ce règlement de 600 000 dollars clôt sept ans de conflit sur le red teaming.

TL;DR : L’essentiel

  • Deux experts en intrusion mandatés par la branche judiciaire de l’Iowa ont été arrêtés lors d’une mission officielle. Malgré un contrat valide, ils ont subi des poursuites pour cambriolage aggravé.
  • Pour tester la sécurité, les agents ont refermé une porte entrouverte avant de forcer le verrou avec un outil plat. Cette manœuvre technique visait à vérifier le déclenchement réel des alarmes.
  • Les policiers sur place ont d’abord validé les documents officiels présentés par les techniciens. Cependant, le shérif local a ordonné leur incarcération, contestant la légitimité de l’autorisation accordée par l’État.
  • Après six ans de litige, un règlement de 600 000 dollars a été conclu. Ce montant vise à compenser les préjudices professionnels et réputationnels subis par ces experts en cybersécurité.

L’issue de ce litige judiciaire en Iowa marque un tournant pour la reconnaissance légale des activités de sécurité offensive. En septembre 2019, ce qui devait être un test de pénétration routinier s’est transformé en un conflit institutionnel majeur. Des experts, agissant sous un contrat explicite avec la branche judiciaire de l’État, ont été traités comme des cambrioleurs par les autorités d’un comté local. Cet événement a mis en lumière une faille non pas technique, mais administrative : l’incapacité des forces de l’ordre locales à respecter une autorisation émanant d’une instance supérieure. La résolution financière de 600 000 dollars vient sanctionner une arrestation jugée abusive, tout en soulignant la fragilité statutaire des agents de la sécurité physique lors des simulations d’attaques réelles.

Un mandat officiel ignoré face à l’autorité locale

La mission de type red team visait à éprouver la résistance physique des tribunaux. Les règles d’engagement, signées par l’autorité judiciaire de l’Iowa, autorisaient explicitement les attaques physiques et le crochetage des serrures. Lors de leur intervention nocturne, les agents ont constaté qu’une porte d’entrée était restée entrouverte, un défaut de sécurité majeur. Pour réaliser un test rigoureux, ils ont refermé cette porte pour la verrouiller de l’extérieur. Ils ont ensuite utilisé un outil plat spécifique qu’ils ont glissé dans la jointure de la porte pour manipuler le mécanisme de verrouillage et pénétrer à nouveau dans les locaux. Selon Ars Technica, cette manœuvre précise visait à déclencher volontairement l’alarme pour mesurer les délais d’intervention.

Lorsque les premiers policiers sont arrivés sur les lieux environ 40 minutes après l’alerte, les experts sont sortis d’eux-mêmes pour présenter leur mandat. Les documents ont été vérifiés et les identités confirmées dans un climat initialement serein. La situation a dégénéré avec l’arrivée du shérif du comté, qui s’est déclaré offensé de ne pas avoir été prévenu de l’audit dans sa juridiction. Ignorant le contrat d’État présenté, il a ordonné l’arrestation immédiate des deux professionnels. Cette décision a conduit à leur incarcération et à une mise en examen pour cambriolage au troisième degré, une accusation criminelle passible de plusieurs années de détention.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Les risques d’une coordination défaillante entre administrations

L’arrestation a déclenché une crise de confiance au sein de la communauté de la cybersécurité. Pour les experts concernés, l’expérience a été traumatique, transformant une réussite technique en un litige de près de sept ans. Comme le détaille Dark Reading, la caution a été fixée à un montant total de 100 000 dollars. Au-delà de l’enfermement, c’est la réputation des intervenants qui a été attaquée. Des responsables administratifs, craignant pour leur propre responsabilité, auraient même tenté de nier l’existence du contrat initial ou de supprimer des traces de communications électroniques. Ce comportement a laissé les testeurs dans une impasse juridique, coincés entre une mission d’État et une répression locale.

Le préjudice subi ne se limite pas aux frais de justice. Les carrières de ces professionnels ont été durablement impactées par la publicité négative autour de l’affaire. Bien que les charges aient été finalement abandonnées, le shérif a continué de soutenir publiquement que leurs actions étaient illégales. Cette affaire envoie un signal inquiétant aux prestataires de sécurité : un mandat valide ne garantit pas une immunité face à l’arbitraire local. Pour sécuriser ces interventions, les experts préconisent désormais d’enregistrer les échanges lors de la signature des contrats et d’exiger une protection juridique explicite contre toute poursuite émanant de subdivisions administratives tierces.

L’accord de 600 000 dollars met un terme à cette bataille, mais la méfiance demeure. Le procureur local a prévenu que toute intrusion future, même mandatée, ferait l’objet de poursuites systématiques. Cette position illustre la persistance d’une incompréhension entre les autorités de sûreté et les professionnels du red teaming. Pour l’industrie, cette affaire souligne l’importance d’une communication tripartite entre le client, le prestataire et les forces de police locales avant toute intervention nocturne. L’identification des vulnérabilités physiques est un service public essentiel qui ne doit plus conduire à la criminalisation de ceux qui l’exercent, pourvu que le cadre contractuel soit respecté avec la rigueur dont ont fait preuve ces experts en Iowa.

Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.

☕ Je soutiens DCOD
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Offrir un café