Les tests de sécurité peuvent-ils avoir des conséquences sur le casier judiciaire ?
Même si cela est rare, il peut arriver que des professionnels de la cybersécurité soient arrêtés pour avoir effectuer des tests pour le compte de l’État Américain.
Parmi tant d’autres prenons l’exemple de certains spécialistes de la société Coalfire, qui suite à un accord conclu avec la SCA (State Court Administration) pour réaliser des tests de sécurité au niveau des systèmes informatiques du palais de justice du comté de Dallas dans l’Iowa, ont été arrêté à minuit précisément pour être mis derrière les barreaux. Une chose inattendue qui soulève certaines questions.
Tout commence exactement durant le mois de septembre 2019. Le directeur de la société spécialisée dans la sécurité informatique, Coalfire, du nom de Gary Demercurio, par ailleurs expert en cybersécurité ainsi qu’un autre consultant du nom de Justin Wynn, ont décidé de mener des tests de sécurité sur le système du tribunal. Ce genre de test se fait appeler « test d’intrusion », parce qu’il consiste à tenter de s’introduire dans un système informatique dans le but de déceler les vulnérabilités potentielles et les corriger avant que des personnes mal intentionnées ne les découvres et ne les utilisent à des fins malveillantes. Ce genre de test et très courant dans le domaine des organisations privées en particulier les entreprises. Et parfois, c’est durant des programmes de prime de bug que cela est le plus perceptible.
Et comme on le sait durant les tests d’intrusion, il est nécessaire d’inclure des éléments physiques, comme accéder à des bureaux ou procéder par l’ingénierie sociale, c’est-à-dire trouver des stratagèmes pour manipuler des personnes des noms des informations importantes reliées aux accès aux systèmes d’informations. Et cela peut mettre en évidence plusieurs failles provenant du comportement même des personnes travaillant dans l’organisation concernée. Et bien sûr cela fut le cas lors du test d’intrusion du tribunal de l’Iowa.
Pour le test d’intrusion, les spécialistes comme le convenaient les termes du contrat qui ont été conclu entre les autorités de l’Iowa et l’entreprise de cybersécurité, tout devrait démarrer tard dans la nuit pour essayer de faire en sorte que tout se passe dans des conditions réelles. Comme on le sait généralement les cybercriminels ont tendance à attaquer la nuit. Avant le début du test, la société de cybersécurité « a passé en revue le champ d’application, bâtiment par bâtiment » pour être sûr que la communication entre elle et les autorités soit au beau fixe, en ce qui concerne l’accès au bâtiment qui devrait être ciblé où être évité.
On se référant au terme du contrat, la société avait l’autorisation d’utiliser la technique de l’ingénierie sociale, se faisant passer pour le personnel deux sœur à avoir accès à certaines zones qui étaient censées être restreintes au niveau de l’accès. Et cela à condition que les systèmes d’alarmes ne soient pas endommagé d’une quelconque manière.
« Le temps de réaction (des forces de l’ordre) a été le plus rapide que nous n’ayons jamais vu, littéralement trois minutes » a souligné M. Wynn après le test effectué dans la nuit du lundi ou mardi.
Après l’intervention des forces de l’ordre, tout allait bien jusqu’à l’arrivée du shérif du comté de Dallas tu Chad Léonard.
Les experts de la société de cybersécurité ont été arrêté et emprisonné pendant près de 20h. Après, ils ont été conduit au palais de justice ou le juge ne s’est pas retenu de les sermonner. La caution pour leur liberté a été fixé à hauteur de 50 000 dollars par personne. Une caution qui est à l’origine fixé à 7 000 dollars, a été augmenté suite aux argumentaires visant à faire croire que les spécialistes de Coalfire pourraient s’échapper. Toute la protestation n’a pas changé quoi que ce soit dans la décision du juge.
Ils furent donc accusés de cambriolage et de possession de matériel de cambriolage. Ces accusations ont été retenues à laquelle a été ajoutée la violation de propriété. Suite à une discussion entre le PDG de la société de sécurité et le shérif du comté de Dallas, ce qui a pris des mois, les accusations sur finalement abandonnées.
« Le shérif du comté de Dallas avait l’intention de protéger les citoyens du comté de Dallas et de l’État de l’Iowa en assurant l’intégrité du tribunal du comté de Dallas. » A communiqué Coalfire dans une déclaration officielle. « Il était également dans l’intention de Coalfire d’aider à protéger les citoyens de l’État de l’Iowa, en testant la sécurité des informations conservées par le pouvoir judiciaire, conformément à un contrat avec le SCA ».
Et cependant la mésaventure n’a pas manqué de laisser des traces. En effet Demercurio et Wynn ne sont pas sorti indemne de tout ce processus car dans leur casier judiciaire, une mention de délit a été gravé. C’est qui pourrait malheureusement entacher leur carrière dans le futur. C’est pour cette raison, que ces derniers recommandent généralement aux sociétés de test d’intrusion de toujours laisser des traces de leurs échanges entre eux et les organisations qui les emploient.
Accédez maintenant à un nombre illimité de mot de passe :