Affaire Coalfire: 600 000 $ pour deux pentesters arrêtés à tort en Iowa

Selon Ars Technica (Dan Goodin), Dallas County (Iowa) a accepté, cinq jours avant l’ouverture d’un procès, de verser 600 000 $ à deux professionnels de la sécurité de Coalfire, Gary DeMercurio et Justin Wynn, arrêtés en 2019 lors d’un pentest physique autorisé d’un palais de justice.

• Contexte et fait marquant ⚖️: En septembre 2019, les pentesters menaient un exercice de red team autorisé par l’Iowa Judicial Branch, incluant explicitement des « attaques physiques » (ex. lockpicking) sous conditions. Malgré une lettre d’autorisation vérifiée par des adjoints arrivés sur place, le shérif du comté de Dallas, Chad Leonard, a ordonné leur arrestation pour cambriolage (felony), plus tard réduite à des contraventions de trespass; toutes les charges ont ensuite été abandonnées.

• Déroulé clé 🏛️: Après minuit, ayant trouvé une porte latérale non verrouillée, ils l’ont refermée puis ont contourné le mécanisme de verrouillage avec un outil improvisé, déclenchant une alarme. Les adjoints, après vérification téléphonique de l’autorisation, les ont d’abord considérés comme légitimes, avant l’intervention du shérif. Ils ont passé environ 20 heures en détention, libérés sous 100 000 $ de caution (50 000 $ chacun).

• Poursuites et règlement 💼: DeMercurio et Wynn ont poursuivi le comté et le shérif pour fausse arrestation, abus de procédure, diffamation, détresse émotionnelle intentionnelle et poursuites malveillantes. Le comté règle aujourd’hui pour 600 000 $. Les intéressés dénoncent l’effet dissuasif envoyé à la communauté sécurité; DeMercurio a depuis lancé Kaiju Security.

• Citations notables 🗣️: « Cet incident n’a rendu personne plus sûr […] Il a envoyé un message glaçant […] qu’aider le gouvernement à identifier de vraies vulnérabilités peut mener à l’arrestation, aux poursuites et au déshonneur public. » — Justin Wynn. « Le règlement confirme que notre travail était autorisé, professionnel et d’intérêt public. » — Gary DeMercurio.

• TTPs observés (red team physique) 🔧:

  • Bypass de loquet via outil improvisé inséré dans l’interstice de la porte
  • Déclenchement d’alarme et observation de la réponse des forces de l’ordre
  • Présentation d’une lettre d’autorisation (« get out of jail free card ») et vérification auprès des autorités judiciaires

Article de presse spécialisé relatant un règlement judiciaire et ses implications pour la communauté du pentest.

🔗 Source originale : https://arstechnica.com/security/2026/01/county-pays-600000-to-pentesters-it-arrested-for-assessing-courthouse-security/

🖴 Archive : https://web.archive.org/web/20260131104844/https://arstechnica.com/security/2026/01/county-pays-600000-to-pentesters-it-arrested-for-assessing-courthouse-security/