Étant donné gratuitement de la référence par le président Trump pour plomber les profondeurs des réseaux et bases de données gouvernementaux américains, les Doge d’Elon Musk mettent en danger l’infrastructure numérique fédérale sur une variété de fronts, selon des experts en sécurité.
Au cours des 10 derniers jours, une étonnante série d’actions d’Elon Musk via son projet du ministère de l’efficacité du gouvernement (DOGE) a élevé le risque de cybersécurité de certains des systèmes informatiques les plus sensibles du gouvernement américain.
Musk et son équipe de jeunes ingénieurs inexpérimentés – dont au moins l’un n’est pas un citoyen américain – ont pris un certain nombre de mesures connues publiquement qui soulèvent de sérieuses préoccupations parmi les professionnels de la cybersécurité et de la vie privée.
Ces actions violent plusieurs principes de sécurité fondamentaux, selon les experts, exposant potentiellement des systèmes gouvernementaux américains très sensibles aux logiciels malveillants tout en ouvrant de nouvelles voies d’attaques possibles par les cybercriminels et même les adversaires de l’État-nation.
Ce que Doge a fait
Vendredi de la semaine dernière, le meilleur fonctionnaire du département du Trésor, David Lebryk, est parti de façon inattendue après que les responsables affiliés à Trump ont exprimé leur intérêt à arrêter certains paiements effectués par le gouvernement fédéral. Dans le sillage du départ de Lebryk, le Département du Trésor a finalement donné à Musk’s Associates un accès complet au système de paiement fédéral du Département du Trésor américain responsable de la gestion des milliards de dollars de dépenses publiques.
Vendredi également, Musk Aides a verrouillé les fonctionnaires de carrière au Bureau de la gestion du personnel (OPM) à partir de systèmes informatiques qui contiennent les données personnelles de millions d’employés fédéraux, donnant aux travailleurs DOGE un accès à un système appelé Enterprise Human Resources Intégration. Ce système contient des dates de naissance, des numéros de sécurité sociale, des évaluations, des adresses domestiques, des notes de rémunération et la durée des services du gouvernement.
Les préoccupations de l’agence sont élevées, certains responsables affirmant que la situation «crée de véritables implications de cybersécurité et de piratage».
Auparavant, lors des incidents OPM antérieurs, Musk et son équipe ont mis en place une adresse e-mail, HR.Gov, pour faire ressembler un système de messagerie lié à musc émanant d’OPM. L’équipe Musk a ensuite envoyé un e-mail demandant aux employés fédéraux qui souhaitaient démissionner pour répondre avec le mot «démissionner», ce qui a fait craindre que certains employés crainsent que les acteurs malveillants puissent l’entraîner et les démissionner par inadvertance des services fédéraux. Les réponses à l’e-mail ont été envoyées non pas au gouvernement fédéral mais à un employé de Musk, Amanda Scales, qui travaillait à l’époque chez Musk’s IA Company Xai mais est devenu plus tard le chef de cabinet de l’OPM.
Cet incident a forcé le fonctionnaire de carrière et CIO de l’OPM Melvin Brown à démissionner.
Samedi, le directeur de la sécurité de l’Agence américaine pour le développement international (USAID) et son adjoint ont été mis en congé administratif après avoir tenté d’empêcher les travailleurs DOGE d’accéder à des systèmes USAID sécurisés. Des sources indiquent que l’équipe DOGE a tenté d’accéder aux fichiers du personnel et aux systèmes de sécurité, y compris des systèmes classifiés au-delà du niveau de sécurité d’au moins certains des employés de Doge. Les systèmes comprenaient également des informations de dégagement de sécurité pour les employés de l’agence.
Un porte-parole de Doge soutient: «Aucun matériel classifié n’a été accessible sans autorisation de sécurité appropriée.» Musk a posté sur X appelant à l’USAID «mourir» et à accuser l’agence indépendante, sans preuve, d’être une «organisation criminelle». Plus tard, il a déclaré que lui et Trump ont fermé l’USAID et ont demandé aux employés de l’agence de ne pas se présenter au travail.
De plus, au cours de la semaine dernière, les travailleurs des services de transformation technologique (TTS), hébergés au sein de la General Services Administration (GSA), ont été convoqués en réunions pour discuter de leur code et de leurs projets avec les membres de l’équipe de Musk. TTS aide à développer les plateformes et les outils qui sous-tendent de nombreux services gouvernementaux, y compris les outils d’analyse et les plugins API que les agences peuvent utiliser pour déployer la technologie plus rapidement. Thomas Shedd, qui travaillait pour Tesla de Musk, est maintenant le chef de TTS. Certains travailleurs DOGE n’avaient pas encore reçu d’ordinateur portable GSA, indiquant que certains se connectaient aux systèmes gouvernementaux utilisant leurs propres appareils.
L’autorité du musc pour faire cela
Bien que de nombreuses actions ou actions de Musk, telles que la fermeture des paiements du Trésor ou l’élimination de l’USAID, puissent être discutables légalement, son autorité pour accéder à des informations non classifiées semble illimitée en vertu d’un décret que Trump a signé pour mettre en œuvre l’ordre du jour de Doge.
L’ingénieur de sécurité Matthew Garrett, qui n’a pas travaillé pour le gouvernement fédéral mais a été en contact avec ceux qui le font, a déclaré qu’il comprenait que le décret évite les protections techniques que les agences fédérales ont mis sur leurs systèmes.
«Avant même de vous rendre aux problèmes de cybersécurité (plus techniques), vous avez tout un tas de problèmes de gouvernance de base qui ne sont pas claires», explique Daniel. «C’est un principe de bonne cybersécurité que vous savez qui se connecte à votre réseau et quel rôle ils ont. Et le potentiel de violations de la vie privée, d’abus de données, de gain monétaire et de représailles politiques, je veux dire, est juste une légion ici. »
Les logiciels malveillants et l’exploitation d’authentification sont les principales préoccupations
L’une des plus grandes préoccupations de cybersécurité de Garrett est que certains travailleurs de Musk semblent connecter leurs propres appareils à des systèmes gouvernementaux sensibles.
« La façon la plus simple de penser à cela est que s’il y a des logiciels malveillants en cours d’exécution sur votre ordinateur, tous les fichiers que vous téléchargez, quiconque exploite ce logiciel malveillant pourrait envoyer ces fichiers ailleurs », dit-il.
Idéalement, les politiques gouvernementales stipuleraient que seuls les appareils de confiance peuvent se connecter au réseau.
« Mais, si vous avez suffisamment de pouvoir sur le leadership technique de cette agence, vous allez être en mesure de simplement désactiver cela et de donner accès à tout », a déclaré Garrett. «Et nous avons vu de nombreuses affirmations selon lesquelles les gens viennent d’apporter leurs ordinateurs de l’extérieur et de les brancher dans les réseaux de département. Et cela signifie que nous ne savons pas s’ils ont des politiques de sécurité raisonnables. »
Si les travailleurs de Musk et les agences gouvernementales ne suivent pas des politiques de sécurité raisonnables, «nous devons supposer que tout ce qu’ils téléchargement sera potentiellement exfiltré», explique Garrett.
De plus, les acteurs malveillants pourraient utiliser toute authentification que l’équipe Musk a utilisée. «Ils vont être en mesure d’attendre que quelqu’un se connecte à un système, puis potentiellement rebondir à travers l’une de ces machines, se connecter à ce système lui-même et accéder à toutes les données auxquelles l’utilisateur a accès plutôt qu’à la simple Matériel qui a été regardé et téléchargé », explique Garrett.
«Toutes ces préoccupations me semblent valables, mais je pense aussi qu’il y a une question de premier ordre: une entreprise sur terre laisserait-elle simplement entrer et brancher des appareils dans leur réseau?» Daniel demande. «Qui sont ces gens? Sont-ils réellement des employés fédéraux? Sont-ils des entrepreneurs? Personne ne le sait. Leur statut est inconnu. Leur autorité de faire tout cela est inconnue. »
De plus, «Quelle entreprise sur Terre embaucherait des gens sans aucune enquête de fond ou en regardant leur CV?» Daniel demande. «Même si vous y appliquez simplement une lentille du secteur privé, l’idée est ridicule que vous renverseriez simplement toutes vos données. Aucun avocat général sur Terre ne dirait que c’est une bonne idée pour votre entreprise. »
Les travailleurs du gouvernement en cybersécurité doivent construire une piste papier CYA
Une autre préoccupation principale soulève que Garrett est que Musk pourrait non seulement exposer les données du gouvernement aux criminels et aux adversaires parrainés par l’État, «mais nous devons également considérer ce qui serait l’impact d’une infection réussie du rançon d’un département du gouvernement», dit-il.
«Avons-nous confiance que ce matériel est toujours soutenu de la manière appropriée? Le type normal du côté technique des choses fonctionne-t-il toujours comme normal? Nous devons également considérer si les personnes ayant des privilèges suffisamment élevées lisent ces données, combien d’entre elles ont accès aux droits à celle-ci, et à quoi ressembleraient les résultats d’un adversaire au niveau de l’État, modifier délibérément certaines de ces données? »
Compte tenu de ce potentiel House of Cards InfoSec, ces travailleurs de la cybersécurité du gouvernement fédéral qui regardent ce que fait l’équipe Doge devrait être scrupuleusement documenter toutes ces activités, si ce n’est pour aucune autre raison que de se protéger.
«Je suppose que quiconque dans cette situation ferait tout ce qu’il peut pour s’assurer que leur trace papier existe démontrant que c’était la faute de quelqu’un d’autre», explique Garrett.