L’histoire paraît absurde, presque kafkaïenne. Deux professionnels de cybersécurité sont engagés pour tester la sécurité d’un tribunal américain. Leur mission consiste précisément à tenter de contourner les contrôles, comme le ferait un véritable attaquant. Résultat : arrestation, menottes, poursuites pénales. Quelques années plus tard, la collectivité locale finit par reconnaître l’erreur… et signe un chèque de 600 000 dollars. Une situation qui illustre un malaise profond : la méconnaissance persistante de la cybersécurité, y compris au cœur des institutions publiques.Contexte
Deux professionnels de la cybersécurité qui avaient été arrêtés en 2019 après avoir effectué une évaluation de sécurité autorisée dans un tribunal de comté de l'Iowa recevront 600 000 dollars pour régler un procès qu'ils avaient intenté pour arrestation abusive et diffamation.
L'affaire a été portée devant les tribunaux par Gary DeMercurio et Justin Wynn, deux testeurs d'intrusion qui étaient à l'époque employés par la société de sécurité Coalfire Labs, basée dans le Colorado. Les deux hommes avaient reçu l'autorisation écrite de la branche judiciaire de l'Iowa pour mener des exercices de « red team », c'est-à-dire des tentatives de violation de la sécurité imitant les techniques utilisées par les pirates informatiques ou les cambrioleurs.
L'objectif de ces exercices est de tester la résilience des défenses existantes en utilisant les types d'attaques réelles que ces défenses sont censées repousser. Les règles d'engagement pour cet exercice autorisaient explicitement les « attaques physiques », y compris le « crochetage », contre les bâtiments de la branche judiciaire, à condition qu'elles ne causent pas de dommages importants.
Un audit de sécurité qui tourne à l’arrestation
Les faits remontent à une mission pourtant banale dans le monde de la sécurité informatique et physique. Une administration locale mandate une société spécialisée pour évaluer la robustesse de la sécurité de son palais de justice. L’objectif est simple : identifier les failles avant qu’un individu malveillant ne les exploite.
Dans ce cadre, deux consultants tentent d’entrer dans le bâtiment en simulant des comportements suspects mais réalistes : accès non autorisé, observation des procédures, contournement des contrôles humains. Rien d’illégal sur le papier, puisque l’intervention est contractuellement autorisée. Sauf que sur le terrain, les forces de l’ordre locales n’ont visiblement pas été informées — ou pas suffisamment.
La suite est brutale. Les deux hommes sont interpellés, menottés, puis inculpés. Leur matériel est saisi, leur réputation écornée, et l’affaire prend une tournure judiciaire totalement disproportionnée au regard de la mission initiale.
Pour comprendre l’absurdité de la situation, il faut s’arrêter un instant sur ce métier encore trop mal compris. Un pentester, contraction de « penetration tester », est un professionnel chargé de tester la sécurité d’un système. Cela peut être un réseau informatique, une application web, mais aussi un bâtiment ou une organisation dans son ensemble.
Son rôle n’est pas de protéger passivement, mais d’attaquer activement, avec l’autorisation explicite du client. Il se met volontairement dans la peau d’un pirate, d’un intrus ou d’un fraudeur pour révéler des failles invisibles aux audits classiques. En clair, il cherche à répondre à une question simple : « Si quelqu’un voulait vraiment entrer ou nuire, comment s’y prendrait-il ? »
C’est un métier encadré, contractualisé, documenté, et absolument central dans les stratégies modernes de cybersécurité. Sans ces tests offensifs, la majorité des failles resteraient inconnues… jusqu’au jour où elles seraient exploitées pour de vrai.
Quand l’administration confond simulation et délit
Le cœur du problème mis en lumière par cette affaire tient à une confusion fondamentale. Tester une faille ressemble souvent, sur le plan visuel et comportemental, à une tentative d’intrusion réelle.
Dans le cas présent, l’échec n’est pas technique mais humain et administratif. Les services concernés n’ont pas partagé l’information correctement, ou n’ont pas compris la nature exacte de la mission. Résultat : malgré la légitimité de leur travail et le contrat légal qui l'autorisait, DeMercurio et Wynn ont été arrêtés pour cambriolage au troisième degré et ont passé 20 heures en prison, jusqu'à ce qu'ils soient libérés sous caution de 100 000 dollars (50 000 dollars chacun). Les accusations ont ensuite été réduites à des délits mineurs d'intrusion, mais même alors, Chad Leonard, shérif du comté de Dallas, où se trouvait le palais de justice, a continué à affirmer publiquement que les deux hommes avaient agi illégalement et devaient être poursuivis.
Les atteintes à la réputation causées par ce type d'événements peuvent être fatales à la carrière d'un professionnel de la sécurité. Et bien sûr, la perspective d'être emprisonné pour avoir effectué une évaluation de sécurité autorisée suffit à attirer l'attention de tout testeur d'intrusion, sans parler des clients qui les engagent.
Ce qui s'est passé
Les activités de DeMercurio et Wynn au palais de justice du comté de Dallas, le 11 septembre 2019, s'étaient déroulées comme prévu. Peu après minuit, après avoir trouvé une porte latérale du palais de justice ouverte, les hommes l'ont refermée et verrouillée. Ils ont ensuite glissé un outil de fortune dans une fente de la porte et ont déclenché le mécanisme de verrouillage. Après être entrés, les pentesteurs ont déclenché une alarme pour alerter les autorités.
En quelques minutes, les adjoints sont arrivés et ont confronté les deux intrus. DeMercurio et Wynn ont présenté une lettre d'autorisation, connue sous le nom de « carte de sortie de prison » dans le milieu des tests d'intrusion. Après qu'un adjoint ait appelé un ou plusieurs des fonctionnaires du tribunal d'État mentionnés dans la lettre et obtenu la confirmation de sa légitimité, les adjoints se sont déclarés satisfaits que les hommes soient autorisés à se trouver dans le bâtiment. DeMercurio et Wynn ont passé les 10 ou 20 minutes suivantes à raconter ce que leur avocat a qualifié dans un document judiciaire de « récits de guerre » aux adjoints qui leur avaient demandé quel type de travail ils faisaient.
Lorsque le shérif Leonard est arrivé, le ton a soudainement changé. Il a déclaré que le palais de justice du comté de Dallas relevait de sa juridiction et qu'il n'avait autorisé aucune intrusion de ce type. Leonard a fait arrêter les hommes et, dans les jours et les semaines qui ont suivi, il a fait de nombreuses déclarations alléguant que les hommes avaient enfreint la loi. Quelques mois après l'incident, il a déclaré que la vidéo de surveillance de cette nuit-là montrait « qu'ils étaient accroupis comme des dindes jetant un œil par-dessus le balcon » lorsque les adjoints sont intervenus.
Une facture salée pour réparer l’erreur
DeMercurio et Wynn ont poursuivi le comté de Dallas et Leonard pour arrestation abusive, abus de procédure, diffamation, préjudice émotionnel intentionnel et poursuites abusives. L'affaire a traîné longtemps. Après des années de procédures, de stress et de dommages professionnels pour les consultants concernés, l’administration locale a fini par transiger. Le montant : 600 000 dollars. Une somme destinée à clore l’affaire et à reconnaître implicitement que l’arrestation et les poursuites étaient infondées.
Ce chiffre n’est pas anodin. Il représente bien plus que le coût d’une erreur judiciaire : il illustre le prix de l’incompréhension. À vouloir sanctionner ce qui ressemblait à une intrusion, l’administration a pénalisé ceux-là mêmes qui travaillaient à améliorer la sécurité collective.
Ironie ultime : cet argent public aurait pu financer des audits supplémentaires, des formations, ou une meilleure coordination entre services. Il a servi...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.