Discussion :

[Stéphane le calme]

Tester la sécurité et finir menotté : deux experts en cybersécurité arrêtés après avoir effectué une évaluation de sécurité autorisée
reçoivent 600 000 dollars de compensation

L’histoire paraît absurde, presque kafkaïenne. Deux professionnels de cybersécurité sont engagés pour tester la sécurité d’un tribunal américain. Leur mission consiste précisément à tenter de contourner les contrôles, comme le ferait un véritable attaquant. Résultat : arrestation, menottes, poursuites pénales. Quelques années plus tard, la collectivité locale finit par reconnaître l’erreur… et signe un chèque de 600 000 dollars. Une situation qui illustre un malaise profond : la méconnaissance persistante de la cybersécurité, y compris au cœur des institutions publiques.

Contexte

Deux professionnels de la cybersécurité qui avaient été arrêtés en 2019 après avoir effectué une évaluation de sécurité autorisée dans un tribunal de comté de l'Iowa recevront 600 000 dollars pour régler un procès qu'ils avaient intenté pour arrestation abusive et diffamation.

L'affaire a été portée devant les tribunaux par Gary DeMercurio et Justin Wynn, deux testeurs d'intrusion qui étaient à l'époque employés par la société de sécurité Coalfire Labs, basée dans le Colorado. Les deux hommes avaient reçu l'autorisation écrite de la branche judiciaire de l'Iowa pour mener des exercices de « red team », c'est-à-dire des tentatives de violation de la sécurité imitant les techniques utilisées par les pirates informatiques ou les cambrioleurs.

L'objectif de ces exercices est de tester la résilience des défenses existantes en utilisant les types d'attaques réelles que ces défenses sont censées repousser. Les règles d'engagement pour cet exercice autorisaient explicitement les « attaques physiques », y compris le « crochetage », contre les bâtiments de la branche judiciaire, à condition qu'elles ne causent pas de dommages importants.

Un audit de sécurité qui tourne à l’arrestation

Les faits remontent à une mission pourtant banale dans le monde de la sécurité informatique et physique. Une administration locale mandate une société spécialisée pour évaluer la robustesse de la sécurité de son palais de justice. L’objectif est simple : identifier les failles avant qu’un individu malveillant ne les exploite.

Dans ce cadre, deux consultants tentent d’entrer dans le bâtiment en simulant des comportements suspects mais réalistes : accès non autorisé, observation des procédures, contournement des contrôles humains. Rien d’illégal sur le papier, puisque l’intervention est contractuellement autorisée. Sauf que sur le terrain, les forces de l’ordre locales n’ont visiblement pas été informées — ou pas suffisamment.

La suite est brutale. Les deux hommes sont interpellés, menottés, puis inculpés. Leur matériel est saisi, leur réputation écornée, et l’affaire prend une tournure judiciaire totalement disproportionnée au regard de la mission initiale.

Pour comprendre l’absurdité de la situation, il faut s’arrêter un instant sur ce métier encore trop mal compris. Un pentester, contraction de « penetration tester », est un professionnel chargé de tester la sécurité d’un système. Cela peut être un réseau informatique, une application web, mais aussi un bâtiment ou une organisation dans son ensemble.

Son rôle n’est pas de protéger passivement, mais d’attaquer activement, avec l’autorisation explicite du client. Il se met volontairement dans la peau d’un pirate, d’un intrus ou d’un fraudeur pour révéler des failles invisibles aux audits classiques. En clair, il cherche à répondre à une question simple : « Si quelqu’un voulait vraiment entrer ou nuire, comment s’y prendrait-il ? »

C’est un métier encadré, contractualisé, documenté, et absolument central dans les stratégies modernes de cybersécurité. Sans ces tests offensifs, la majorité des failles resteraient inconnues… jusqu’au jour où elles seraient exploitées pour de vrai.

Quand l’administration confond simulation et délit

Le cœur du problème mis en lumière par cette affaire tient à une confusion fondamentale. Tester une faille ressemble souvent, sur le plan visuel et comportemental, à une tentative d’intrusion réelle.

Dans le cas présent, l’échec n’est pas technique mais humain et administratif. Les services concernés n’ont pas partagé l’information correctement, ou n’ont pas compris la nature exacte de la mission. Résultat : malgré la légitimité de leur travail et le contrat légal qui l'autorisait, DeMercurio et Wynn ont été arrêtés pour cambriolage au troisième degré et ont passé 20 heures en prison, jusqu'à ce qu'ils soient libérés sous caution de 100 000 dollars (50 000 dollars chacun). Les accusations ont ensuite été réduites à des délits mineurs d'intrusion, mais même alors, Chad Leonard, shérif du comté de Dallas, où se trouvait le palais de justice, a continué à affirmer publiquement que les deux hommes avaient agi illégalement et devaient être poursuivis.

Les atteintes à la réputation causées par ce type d'événements peuvent être fatales à la carrière d'un professionnel de la sécurité. Et bien sûr, la perspective d'être emprisonné pour avoir effectué une évaluation de sécurité autorisée suffit à attirer l'attention de tout testeur d'intrusion, sans parler des clients qui les engagent.

Ce qui s'est passé

Les activités de DeMercurio et Wynn au palais de justice du comté de Dallas, le 11 septembre 2019, s'étaient déroulées comme prévu. Peu après minuit, après avoir trouvé une porte latérale du palais de justice ouverte, les hommes l'ont refermée et verrouillée. Ils ont ensuite glissé un outil de fortune dans une fente de la porte et ont déclenché le mécanisme de verrouillage. Après être entrés, les pentesteurs ont déclenché une alarme pour alerter les autorités.

En quelques minutes, les adjoints sont arrivés et ont confronté les deux intrus. DeMercurio et Wynn ont présenté une lettre d'autorisation, connue sous le nom de « carte de sortie de prison » dans le milieu des tests d'intrusion. Après qu'un adjoint ait appelé un ou plusieurs des fonctionnaires du tribunal d'État mentionnés dans la lettre et obtenu la confirmation de sa légitimité, les adjoints se sont déclarés satisfaits que les hommes soient autorisés à se trouver dans le bâtiment. DeMercurio et Wynn ont passé les 10 ou 20 minutes suivantes à raconter ce que leur avocat a qualifié dans un document judiciaire de « récits de guerre » aux adjoints qui leur avaient demandé quel type de travail ils faisaient.

Lorsque le shérif Leonard est arrivé, le ton a soudainement changé. Il a déclaré que le palais de justice du comté de Dallas relevait de sa juridiction et qu'il n'avait autorisé aucune intrusion de ce type. Leonard a fait arrêter les hommes et, dans les jours et les semaines qui ont suivi, il a fait de nombreuses déclarations alléguant que les hommes avaient enfreint la loi. Quelques mois après l'incident, il a déclaré que la vidéo de surveillance de cette nuit-là montrait « qu'ils étaient accroupis comme des dindes jetant un œil par-dessus le balcon » lorsque les adjoints sont intervenus.

Une facture salée pour réparer l’erreur

DeMercurio et Wynn ont poursuivi le comté de Dallas et Leonard pour arrestation abusive, abus de procédure, diffamation, préjudice émotionnel intentionnel et poursuites abusives. L'affaire a traîné longtemps. Après des années de procédures, de stress et de dommages professionnels pour les consultants concernés, l’administration locale a fini par transiger. Le montant : 600 000 dollars. Une somme destinée à clore l’affaire et à reconnaître implicitement que l’arrestation et les poursuites étaient infondées.

Ce chiffre n’est pas anodin. Il représente bien plus que le coût d’une erreur judiciaire : il illustre le prix de l’incompréhension. À vouloir sanctionner ce qui ressemblait à une intrusion, l’administration a pénalisé ceux-là mêmes qui travaillaient à améliorer la sécurité collective.

Ironie ultime : cet argent public aurait pu financer des audits supplémentaires, des formations, ou une meilleure coordination entre services. Il a servi à réparer une faute évitable par une communication claire et une culture de sécurité plus mature.

Quoiqu'il en soit, DeMercurio a désormais créé sa propre entreprise, Kaiju Security, qui propose de faire des tests de pénétration aussi bien en physique qu'en numérique.

« L'accord confirme ce que nous avons dit depuis le début : notre travail était autorisé, professionnel et réalisé dans l'intérêt public », a déclaré DeMercurio. « Ce qui nous est arrivé n'aurait jamais dû se produire. Être arrêtés pour avoir fait le travail pour lequel nous avions été engagés a bouleversé nos vies et terni la réputation que nous avions mis des années à bâtir. »

Le pentest, un outil central encore mal compris

Dans les environnements IT matures, le test d’intrusion n’est plus une option. Il constitue l’un des rares moyens réalistes de mesurer le niveau de sécurité réel d’un système, au-delà des audits documentaires et des check-lists de conformité. Le principe est connu des RSSI et des DSI : simuler une attaque crédible pour identifier les failles techniques, humaines et organisationnelles avant qu’un acteur malveillant ne le fasse.

Le problème, comme le montre cette affaire, est que cette logique reste parfois confinée aux équipes informatiques. Dès que le périmètre dépasse le strict SI pour toucher à la sécurité physique, aux processus métier ou aux forces de l’ordre, la compréhension se dilue. Le pentester devient alors un « suspect » parce que son rôle même repose sur la transgression contrôlée des règles.

Le métier de pentester repose sur une réalité inconfortable : pour protéger efficacement, il faut accepter d’être mis en défaut. Cette logique est naturelle pour les équipes IT, habituées aux incidents et aux post-mortem. Elle l’est beaucoup moins pour des structures administratives où la procédure et la responsabilité priment sur l’expérimentation contrôlée.

L’affaire rappelle une vérité que les professionnels de l’informatique connaissent bien : la sécurité n’est pas un état, mais un processus. Et ce processus échoue dès lors qu’une partie de l’organisation refuse d’en comprendre les règles du jeu.

Sources : KCRG, Kaiju Security

Et vous ?

Jusqu’où une administration peut-elle ignorer la réalité des métiers de la cybersécurité sans mettre en danger ses propres infrastructures ?

Peut-on encore parler de « sécurité » lorsque ceux qui sont mandatés pour tester les failles finissent menottés par manque de coordination interne ?

Les forces de l’ordre sont-elles suffisamment formées pour distinguer une intrusion criminelle d’un audit de sécurité autorisé ?

À qui incombe réellement la responsabilité lorsque la chaîne de communication échoue entre décideurs, services juridiques et agents de terrain ?

Faut-il encadrer légalement plus strictement les missions de pentest, au risque de les rendre inefficaces, ou au contraire mieux former les institutions qui y font appel ?

Ce type d’affaire risque-t-il de décourager les experts en sécurité de travailler avec le secteur public ?

Combien d’autres failles restent aujourd’hui non testées par peur de ce genre de dérive judiciaire ?

[Daïmanu]

Rien d’illégal sur le papier, puisque l’intervention est contractuellement autorisée. Sauf que sur le terrain, les forces de l’ordre locales n’ont visiblement pas été informées — ou pas suffisamment.

Les attaquants possèdent un papier signé tout ce qu'il y a de plus officiel qu'ils ont bien montré selon les sources Mais le shériff a fait du zèle.

What are you doing in our courthouse with the alarm going off, sir? The state testing security hires us. Here’s our paperwork, here’s our IDs, go ahead and run us, we’ll just hang out,” Wynn said.

After providing officers with state paperwork, the two were about to be released when former Sheriff Chad Leonard arrived, saying they had never had anything like this happen before.

En gros j'ai jamais connu ça, donc c'est faux, donc direction prison. Très professionnel !⸮