Comment une guerre de territoire et un contrat bâclé ont fait atterrir 2 pentesters dans l’Iowa
Aux petites heures du matin du 11 septembre, un répartiteur du bureau du shérif du comté de Dallas, dans l’Iowa, a repéré quelque chose d’alarmant sur une caméra de surveillance dans le palais de justice du comté. Deux hommes qui avaient déclenché une alarme après avoir ouvert une porte verrouillée erraient dans les salles d’audience du troisième étage, a-t-elle rapporté à la radio alors que les adjoints se précipitaient sur les lieux. Les intrus portaient des sacs à dos et s’accroupissaient près des bancs des juges. Lorsque le premier adjoint s’est garé dans le stationnement, les hommes se sont dirigés vers un espace ouvert à l’extérieur des salles d’audience et se sont cachés.
« Ils étaient accroupis comme des dindes qui jetaient un coup d’œil sur le balcon « , a déclaré Chad Leonard, shérif du comté de Dallas, dans une entrevue. « Nous voici à 12 h 30 du matin, confrontés à cette question, le 11 septembre, rien de moins. Nous avons deux inconnus dans notre palais de justice – dans un immeuble du gouvernement qui porte des sacs à dos qui me rappellent, à moi et à plusieurs autres adjoints, les bombes des autocuiseurs. »
Après l’arrivée d’autres députés, Justin Wynn, 29 ans, de Naples, en Floride, et Gary De Mercurio, 43 ans, de Seattle, descendent lentement les escaliers les mains levées. Ils ont ensuite présenté aux députés une lettre expliquant que les intrus n’étaient pas des criminels, mais plutôt des vérificateurs d’intrusion qui avaient été embauchés par l’administration judiciaire de l’État de l’Iowa pour vérifier la sécurité de son système d’information judiciaire. Après avoir appelé un ou plusieurs des fonctionnaires du tribunal de l’État énumérés dans la lettre, les adjoints ont été convaincus que les hommes étaient autorisés à se trouver dans l’immeuble.
Les députés ont écouté avec intérêt les pentesters-qui travaillent pour Westminster, au Colorado. Laboratoires de lutte contre les incendies de charbon-comment ils sont entrés. Ils ont dit qu’ils ont trouvé une porte de tribunal déverrouillée. Alors ils l’ont fermée de l’extérieur et l’ont laissée fermée à clé. Puis ils ont glissé une planche à découper en plastique dans une fissure de la porte et ont manipulé son mécanisme de verrouillage. (Les pentesters utilisent souvent des outils de fortune ou créés par eux-mêmes dans leur embarcation pour actionner les verrous, déclencher les mécanismes de détection de mouvement et tester d’autres systèmes de sécurité). Les adjoints semblaient impressionnés.
Lorsque Leonard est arrivé sur les lieux, l’ambiance a rapidement changé. Leonard a lu la lettre et a évalué les hommes. Il a dit que les hommes étaient autorisés à faire de l' »ingénierie sociale physique pour tenter d’avoir accès » aux systèmes des palais de justice. Les tentatives pourraient inclure :
- Usurpation de l’identité d’employés, d’entrepreneurs ou d’autres personnes
- Donner de faux prétextes pour obtenir un accès physique aux installations
- « Suivre les employés dans les installations
- Accès aux zones d’accès restreint des installations
La lettre énumère également les tâches qui ne devraient pas être exécutées, y compris :
- Alarme subversion
- Portes à ouverture forcée
- Accès à des environnements nécessitant un équipement de protection individuelle
Les pentestesters avaient déjà dit qu’ils avaient utilisé un outil pour ouvrir la porte d’entrée. Leonard a pris cela pour signifier que les hommes avaient violé la restriction contre l’ouverture forcée des portes. Leonard a également dit que les hommes ont tenté de couper l’alarme, ce que les responsables de Coalfire nient avec véhémence. Dans l’esprit de Leonard, c’était une deuxième violation. Une autre raison de douter : l’une des personnes citées comme contact dans la lettre de sortie de prison n’a pas répondu aux appels des adjoints, tandis qu’une autre a dit qu’il ne croyait pas que les hommes avaient la permission de faire des intrusions physiques.
Le shérif a aussi dit que lui et ses adjoints avaient senti l’alcool dans l’haleine de l’un des hommes. (Leonard, qui n’a pas identifié l’employé de Coalfire, a dit qu’un test effectué plus tard a montré que le pentester avait un taux d’alcoolémie de 0,05, l’équivalent d’un ou deux verres. Il est inférieur au seuil de 0,08 pour un fonctionnement en état d’ébriété condamnation.)
Leonard a rapidement fait arrêter les hommes pour cambriolage au troisième degré. Ils ont passé la nuit en prison dans des cellules séparées, où l’un d’eux a reçu un banc avec un matelas. Après avoir été traduits en justice le lendemain matin, ils ont été choqués lorsqu’ils ont été à nouveau renvoyés en prison. Les pentesters n’ont été libérés qu’en fin d’après-midi ou en début de soirée sous caution de 100 000 $ (50 000 $ pour chacun).
Les accusations ont depuis été réduites à des accusations d’intrusion pour infraction mineure. Le procès est prévu pour avril. Pendant ce temps, le bureau du shérif du comté voisin de Polk mène une enquête criminelle sur une effraction survenue le 10 septembre dans son palais de justice dans le cadre du même accord avec l’administration judiciaire d’État.
Cause célèbre
L’affaire est devenue une cause célèbre qui a galvanisé une variété d’intérêts différents. Pour Coalfire et les pentesters professionnels du monde entier, ces accusations constituent un affront qui menace leur capacité à mener à bien ce qui a longtemps été considéré comme une pratique clé pour assurer la sécurité des systèmes des clients. Si les pentestesters ne peuvent pas être sûrs que les évaluations physiques ne donneront pas lieu à des poursuites criminelles, les professionnels de la sécurité disent qu’ils ne seront plus en mesure de remplir cette fonction essentielle avec la vigueur et la rigueur qu’elle exige.
« Cela affecte directement mon travail », a dit un testeur de pénétration qui a demandé à être identifié uniquement par sa poignée. @Tinker. « Cela affecte le dépistage physique en général et cela affecte vraiment le dépistage par le gouvernement lorsque le gouvernement de l’état ne peut pas fournir de protection et que vous ne pouvez pas faire confiance au gouvernement de l’état pour qu’il respecte ses propres lois.
Pour les fonctionnaires du comté de Dallas, d’autre part, et peut-être aussi ceux du comté de Polk tout proche, il s’agit de leur droit souverain de surveiller leurs installations appartenant au contribuable. Leonard a dit que l’administration des tribunaux de l’État de l’Iowa, ou SCA, n’avait pas l’autorité légale pour permettre aux hommes de pénétrer de force dans l’immeuble appartenant au comté.
De plus, le shérif a déclaré que l’utilisation par les pentesters de matériel de crochetage de serrures et leur prétendue manipulation d’un système d’alarme – encore une fois, Coalfire conteste cette dernière affirmation – violait les termes de la lettre de sortie de prison sans prison. Le shérif a également déclaré que l’évaluation de minuit constituait une violation d’un terme énoncé dans une section du document sur les règles d’engagement. Il a dit que les tests de dépistage devaient être effectués entre 6 h et 18 h, heure des Rocheuses. (Curieusement, l’Iowa est dans le fuseau horaire central. Un autre terme du même règles d’engagement (pdf) « Ça peut être le jour et le soir. » Leonard n’était pas au courant de ce dernier détail jusqu’à ce que je le souligne lors de l’entrevue. Le shérif a refusé de diffuser la vidéo de l’incident.)
Tu vas aller en prison.
La lettre de sortie de prison » dit que vous ne manipulerez pas les portes « , a dit Leonard. « Eh bien, ils ont choisi quatre portes. Ils ont dit qu’ils ne manipuleraient pas le système d’alarme. Ils sont allés jusqu’à l’alarme et ont essayé de l’éteindre. Le plus gros problème, c’est qu’ils n’étaient censés travailler que de 6 h à 18 h. Ils sont sortis au milieu de la nuit et sont entrés par effraction. »
Tout aussi important, a dit M. Leonard, est ce qu’il croyait être le dépassement des fonctionnaires de l’Iowa qui ont retenu Coalfire. Quand le shérif a confronté les hommes cette nuit-là, il a dit : « L’État de l’Iowa n’a pas le droit de vous autoriser à pénétrer dans un bâtiment du comté. Tu vas aller en prison. »
Personne n’a plus d’intérêt dans la controverse que Wynn et De Mercurio, qui risquent d’être condamnés pour des accusations criminelles qui, entre autres choses, pourraient compromettre les autorisations gouvernementales et les perspectives d’emploi futures. Directeur général de Coalfire Tom McAndrew dit dans une déclaration le mois dernier, Leonard « n’a pas fait preuve de bon sens et de bon jugement et a transformé cet engagement en une bataille politique entre l’Etat et le Comté ». McAndrew a également noté que Coalfire a mené une mission pour le SCA de l’Iowa en 2015 sans incident.
Leonard a dit qu’il recevait des « courriers haineux » en provenance d’aussi loin que l’Europe depuis l’incident il y a deux mois.
McAndrew m’a dit que Wynn et De Mercurio faisaient tout dans les règles. Les employés, a dit M. McAndrew, ont intentionnellement déclenché l’alarme, puis se sont rendus au troisième étage pour tester l’intervention. Il est d’usage de s’accroupir sur le sol ou d’essayer d’être caché après le déclenchement d’une alarme pour tester la réponse des autorités et voir ce que les caméras de surveillance peuvent détecter.