[ad_1]

Le 11 septembre 2019, deux experts en sécurité d’une entreprise qui avait été embauchée par l’État de l’Iowa pour tester la sécurité physique et réseau de son système judiciaire ont été arrêtés alors qu’ils enquêtaient sur la sécurité d’un palais de justice du comté de l’Iowa, emprisonnés dans des combinaisons orange, accusé de cambriolage et détenu sous caution de 100 000 $. Le jeudi 30 janvier, les procureurs de l’Iowa ont annoncé qu’ils avaient abandonné les poursuites pénales. La nouvelle est tombée alors que BreachTrace menait une interview vidéo avec les deux accusés (voir ci-dessous).

Le palais de justice du comté de Dallas, Iowa. Image : Wikipédia.

Gary DeMercurio43 de Seattle, et Justin Wynn29 ans de Naples, en Floride, sont tous deux professionnels testeurs d’intrusion employé par Laboratoires Coalfireune société de sécurité basée à Westminster, dans le Colorado. L’administration de la Cour d’État de l’Iowa avait engagé l’entreprise pour tester la sécurité de ses bâtiments judiciaires.

En dessous de les termes de leur contrat (PDF), DeMercurio et Wynn ont été autorisés à usurper l’identité du personnel et des sous-traitants, à fournir de faux prétextes pour accéder physiquement aux installations, à « tailler » les employés dans les bâtiments et à accéder aux zones restreintes de ces installations. Le contrat stipulait que les hommes ne pouvaient pas tenter de renverser les systèmes d’alarme, d’ouvrir des portes de force ou d’accéder à des zones nécessitant un équipement de protection.

Lorsque le test de sécurité du duo, tôt le matin du 11 septembre, au palais de justice du comté de Dallas, dans l’Iowa, a déclenché une alarme de sécurité sonore, ils ont suivi la procédure et ont attendu la police sur place. DeMercurio et Wynn ont déclaré que lorsque les adjoints du shérif du comté sont arrivés sur les lieux quelques minutes plus tard, ils ont dit aux officiers qui ils étaient et pourquoi ils étaient là, et qu’ils avaient obtenu l’entrée dans les locaux par une porte non verrouillée.

« Ils ont dit qu’ils avaient trouvé une porte de palais de justice non verrouillée, alors ils l’ont fermée de l’extérieur et l’ont laissée se verrouiller », Dan Goodin d’Ars Technica a écrit de l’épreuve en novembre. « Ensuite, ils ont glissé une planche à découper en plastique dans une fissure de la porte et manipulé son mécanisme de verrouillage. (Les pentesters utilisent fréquemment des outils de fortune ou créés par eux-mêmes dans leur métier pour actionner les loquets, déclencher des mécanismes de détection de mouvement et tester d’autres systèmes de sécurité.) Les adjoints semblaient impressionnés.

Pour apaiser les inquiétudes selon lesquelles ils pourraient être des cambrioleurs, DeMercurio et Wynn ont produit une lettre d’autorisation détaillant le travail pour lequel ils avaient été embauchés et énumérant les noms et numéros de téléphone portable des employés de l’État de l’Iowa qui pourraient vérifier leur histoire.

Après avoir contacté certains des fonctionnaires de la cour énumérés dans la lettre, les députés semblaient convaincus que les hommes n’étaient pas des voleurs. C’est-à-dire jusqu’à Chad Leonard, shérif du comté de Dallas s’est montré.

« Les pentesters avaient déjà dit qu’ils avaient utilisé un outil pour ouvrir la porte d’entrée », a raconté Goodin. « Leonard a compris que cela signifiait que les hommes avaient violé la restriction interdisant l’ouverture forcée des portes. Leonard a également déclaré que les hommes avaient tenté d’éteindre l’alarme, ce que les responsables de Coalfire nient avec véhémence. Dans l’esprit de Leonard, c’était une deuxième violation. Autre motif de doute: l’une des personnes répertoriées comme contact sur la lettre de sortie de prison n’a pas répondu aux appels des députés, tandis qu’une autre a déclaré qu’il ne croyait pas que les hommes avaient l’autorisation de procéder à des intrusions physiques .”

DeMercurio et Wynn ont été arrêtés, emprisonnés et détenus pendant près de 24 heures avant d’être libérés sous caution de 100 000 $. Au départ, ils ont été accusés de cambriolage au troisième degré et de possession d’outils de cambriolage, bien que ces accusations aient ensuite été rétrogradées en délit d’intrusion.

Ce qui semblait initialement à Coalfire comme un manque de jugement momentané de la part des autorités de l’Iowa s’est rapidement transformé en surréaliste lorsque les législateurs de l’État ont tenu des audiences pour se demander pourquoi et comment quelqu’un à l’emploi de l’État aurait pu mettre en danger de manière si imprudente la sûreté et la sécurité de ses citoyens.

DeMercurio et Wynn, moins les combinaisons orange.

Les responsables du pouvoir judiciaire du comté de Dallas ont déclaré en réponse à ces grillades qu’ils ne s’attendaient pas à ce que les tests de pénétration physique de Coalfire soient effectués en dehors des heures de bureau. La sénatrice d’État Amy Sinclair a été cité comme disant à ses collègues que « l’embauche d’une entreprise extérieure pour s’introduire dans les palais de justice en septembre a créé » un danger important, non seulement pour les entrepreneurs, mais pour les forces de l’ordre locales et les membres du public « .

« Essentiellement, une branche du gouvernement a passé un contrat avec une entreprise pour commettre des crimes, et c’est très troublant », a déploré l’État de l’Iowa. Le sénateur Zach Whiting. « Je veux savoir qui doit être tenu responsable de cela et comment nous pouvons le faire. »

Ces paroles fortes se sont heurtées à une déclaration conjointe publiée jeudi par Coalfire et Procureur du comté de Dallas, Charles Sinnard:

« En fin de compte, les intérêts à long terme de la justice et de la protection du public ne sont pas mieux servis par la poursuite des poursuites contre les accusations d’intrusion », indique le communiqué. «Ces intérêts sont mieux servis par toutes les parties travaillant ensemble pour garantir une communication claire sur les mesures à prendre pour sécuriser les informations sensibles conservées par le pouvoir judiciaire, sans mettre en danger la vie ou la propriété des citoyens de l’Iowa, les forces de l’ordre ou les personnes effectuant les tests.

Matthieu Linholmun avocat représentant DeMercurio et Wynn dans l’affaire, a déclaré que le système judiciaire cesse de remplir sa fonction cruciale et perd de sa crédibilité lorsque des accusations criminelles sont utilisées pour faire avancer des agendas personnels ou politiques.

« Une telle pratique met en danger l’administration efficace de la justice et notre confiance dans le système de justice pénale », a déclaré Linholm. Le registre Des Moineslequel a annoncé la nouvelle des accusations abandonnées.

Alors que l’affaire contre les employés de Coalfire a rallié de nombreux membres de la communauté de la cybersécurité autour de l’accusé, tout le monde ne voit pas ce différend en noir sur blanc. Chris Nickersonspécialiste de l’intrusion numérique et fondateur de LARES Consultinga déclaré dans un post Twitter jeudi que « lorsqu’une entreprise nous met en danger en raison d’une mauvaise planification, d’une formation à la vente ratée, d’une gestion de projet inadéquate et d’une gestion de contrat déplorable… nous ne devrions pas les célébrer. Nous devrions les tenir responsables.

Invité à élaborer, Nickerson a mentionné un podcast récent qui concernait les arrestations.

« Les choses qui me préoccupent dans cette situation sont davantage les éléments de sécurité qui existent dans la façon dont les instruments de l’industrie effectuent ces types d’engagements », a déclaré Nickerson. « Ils semblent très, très raisonnables et évidents une fois qu’ils deviennent évidents, mais jusque-là, ils sont complètement étrangers aux gens. »

« C’est vraiment aux propriétaires de l’organisation d’éduquer le client sur ces pièges potentiels », a poursuivi Nickerson. « Parce qu’il n’y a pas un bon niveau. Nous ne nous sommes pas tous réunis et n’avons pas institutionnalisé les connaissances que nous avons dans la tête et ne les avons pas mises sur papier afin que quelqu’un qui est nouveau dans le domaine et chargé de cela puisse passer et dire : « Hé, leur avez-vous demandé si la ville contre l’État contre le propriétaire de l’immeuble et les agents de l’immobilier… est-ce que tous ces gens sont en phase ? »

Feu de charbon PDG Tom McAndrew a semblé aborder ce point dans notre interview de jeudi, affirmant qu’il y avait deux aspects uniques de cet engagement particulier. Premièrement, bien que le client dans cette affaire ait déclaré qu’il ne voulait pas que Coalfire informe les forces de l’ordre locales de l’engagement en cours avant de tester la sécurité physique du site, il était clair après coup que les responsables de l’État ne l’avaient jamais fait seuls.

Plus important encore, a déclaré McAndrew, il y avait une ambiguïté quant à savoir qui possédait réellement les bâtiments qu’ils avaient été embauchés pour tester.

« Si vous faites un test pour l’État et que vous entrez dans le bâtiment et que c’est le palais de justice et que vous faites un test pour le système judiciaire, vous penseriez qu’ils auraient compétence ou le posséderaient, et cela s’est avéré ne pas être le cas dans ce scénario parce qu’il y a certaines choses que l’État possède et certaines choses que le comté possède, et c’était quelque chose dont nous n’étions pas conscients car nous avons fait une partie de ce travail », a-t-il déclaré. « Nous n’avons pas compris les nuances. »

Interrogé sur ce que Coalfire a appris de cette épreuve, McAndrew a déclaré que son entreprise insisterait probablement pour que les forces de l’ordre locales, étatiques et même fédérales soient informées à l’avance de tout test de pénétration, du moins dans la mesure où ces engagements concernent des entités publiques.

« Lorsque nous examinons les contrats et que nous examinons qui est autorisé à faire quoi… généralement, si un [chief security officer] dit testez ces adresses IP, nous dirions d’accord, ça suffit », a-t-il déclaré. « Mais nous nous demandons d’un point de vue juridique à quel moment cela doit-il faire l’objet d’un examen par un conseiller juridique. »

McAndrew a déclaré qu’il était probablement temps pour les experts de divers coins de la communauté des tests d’intrusion de collaborer à la documentation des meilleures pratiques qui pourraient aider les autres à éviter une répétition du scénario dans le comté de Dallas.

« Il n’y a pas de norme dans l’industrie », a-t-il déclaré. « Quand il s’agit de ce genre de problèmes dans l’équipe rouge — les défis juridiques et les contrats — il n’y a vraiment rien là-bas. Il y a certaines choses qui ne peuvent pas être annulées. Il y a les photos d’identité qui sont là pour toujours, mais même si les accusations sont abandonnées, elles seront en permanence dans la base de données fédérale. C’est une chose permanente qui résidera avec eux et il n’y a aucun moyen légal à notre connaissance de faire supprimer ces accusations de la base de données fédérale.

McAndrew a déclaré que bien qu’il reste frustré qu’il ait fallu si longtemps pour résoudre ce différend, il ne pense pas que quiconque impliqué ait agi avec une intention malveillante.

« Je ne pense pas qu’il y ait eu de mauvaises personnes », a-t-il déclaré. «Tout le monde essayait de faire les bonnes choses – des forces de l’ordre au shérif en passant par les juges du comté – ils avaient tous les bonnes intentions. Mais ils n’avaient pas nécessairement tous les bonnes informations, et peut-être que les gens prenaient des décisions à des niveaux qu’ils n’étaient pas vraiment autorisés à prendre. Normalement, ce n’est pas vraiment notre décision, mais je pense que les gens doivent y penser.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *