600 000 dollars pour les barreaux : comment un test de sécurité légal s'est transformé en procès contre l'État

Parfois, la meilleure récompense pour un excellent travail n'est pas une prime, mais l'absence d'une peine d'emprisonnement. Pour Gary DeMercurio et Justin Winn, cette ironie est devenue réalité, s'étirant sur six longues années. L'histoire a commencé en septembre 2019, quand la société de cybersécurité Coalfire a reçu un contrat parfaitement légal du système judiciaire de l'Iowa.

La tâche était cristalline : tester comment un étranger pourrait facilement pénétrer dans des bâtiments gouvernementaux. Il s'agit d'une pratique standard pour le Red Teaming, où les spécialistes simulent les actions des attaquants pour trouver des vulnérabilités avant que les vrais criminels ne puissent les exploiter. Gary et Justin ont abordé le travail avec responsabilité, mais ils n'ont pas tenu compte d'un facteur qu'aucune spécification technique ne pouvait les préparer — l'amour-propre blessé des autorités locales.

Cette nuit-là fatidique, les pentesters ont pénétré avec succès dans le bâtiment du palais de justice du comté de Dallas. Ils n'ont pas défoncé les portes avec une masse, mais ont utilisé leurs compétences professionnelles. Quand l'alarme s'est déclenchée, ils n'ont pas fui, mais ont attendu la police pour pouvoir présenter leur « carte pour sortir de prison » — une lettre officielle de l'État confirmant leur autorité.

Dans un monde normal, cela aurait dû se terminer par une brève conversation et un rapport de vulnérabilités. Mais le shérif du comté de Dallas, Chad Leonard, en a décidé autrement. Pour lui, ce n'était pas un test de sécurité, mais une insulte personnelle.

Malgré un contrat, les spécialistes ont été arrêtés et accusés de cambriolage au troisième degré. Le shérif a déclaré publiquement que personne n'a le droit d'entrer dans « son » bâtiment après la fermeture, même avec un ordre de la capitale de l'État.

Cet incident a provoqué un changement tectonique dans la communauté de la cybersécurité. Soudain, il s'est avéré que même en travaillant en vertu d'un contrat officiel, vous pouviez vous retrouver en prison à cause d'un conflit d'intérêts entre l'État et le comté. Gary et Justin n'ont pas passé beaucoup de temps en prison, mais les accusations ont plané sur eux pendant des mois, détruisant leur réputation et leur carrière.

Bien que les accusations aient été ensuite réduites, puis abandonnées sous la pression du public et du bon sens, les dégâts avaient été faits. Les spécialistes ont poursuivi le comté de Dallas, accusant les autorités d'arrestation illégale et de diffamation. Ils ont soutenu qu'ils avaient été utilisés comme des pions dans une lutte politique entre les autorités locales et l'administration judiciaire de l'État.

Le procès a duré des années, devenant un marathon épuisant. Les autorités du comté ont continué à essayer de justifier les actions du shérif, insistant sur le fait que les pentesters avaient prétendument dépassé la portée de leur travail. Cependant, les faits disaient le contraire : le contrat a été signé, les objectifs définis, et les méthodes conformes aux normes professionnelles.

En fin de compte, le comté de Dallas a préféré ne pas procéder à un procès complet avec jury et a accepté un règlement. La somme de 600 000 dollars n'est pas simplement une indemnisation pour les dommages moraux et les frais juridiques. C'est le prix que les contribuables ont payé pour l'incompétence et l'obstination d'un shérif en particulier.

Cette histoire est importante non seulement en raison de l'argent. Elle crée un précédent d'une importance critique pour toute l'industrie des tests de pénétration physique. Désormais, les entreprises qui embauchent des spécialistes pour vérifier la sécurité vérifieront trois fois si les autorités locales ont été informées et n'auront pas envie de jouer les héros de films d'action. Pour les « hackers au chapeau blanc » eux-mêmes, c'est un rappel que la clarté juridique dans un contrat n'est pas un luxe, mais le seul moyen de survivre dans un monde où la bureaucratie est parfois plus dangereuse que n'importe quel exploit. Gary et Justin peuvent enfin laisser ce cauchemar derrière eux, mais la cicatrice dans l'industrie durera longtemps.

L'essentiel : la protection juridique des pentesters doit être aussi fiable que leur logiciel, sinon vous devrez payer pour avoir forcé les systèmes de sécurité de votre liberté.