La plainte accuse Doge de contourner les protocoles de sécurité pour déplacer des données personnelles sensibles des Américains en dehors de la surveillance fédérale et sur une instance de cloud AWS non sécurisée, violant potentiellement les pratiques de sécurité établies et plusieurs lois.
Le département d’efficacité du gouvernement (DOGE) a été téléchargé sur un serveur Web d’Amazon Web Amazon Insécures une copie des données sur la sécurité sociale des Américains, risquant la sécurité des informations personnelles critiques pour plus de 300 millions de personnes, selon une divulgation de dénonciation protégée à l’Office américain de conseils spéciaux et de comités du Congrès déposé par le projet de responsabilité gouvernementale.
Le dénonciateur Charles Borges, qui est directeur des données de la Social Security Administration (SSA) depuis janvier, a révélé que Doge avait créé une copie en direct des informations sur la sécurité sociale du pays dans un environnement cloud de test qui contourne la surveillance et violent potentiellement les protocoles de sécurité et les réglementations fédérales de confidentialité.
Borges affirme que la manœuvre risquée a plafonné une période turbulente à la SSA au cours de laquelle les Doge Workers ont progressé de la contournement d’urgence des ordonnances judiciaires en mars 2025 à l’approbation institutionnelle systématique à part entière des activités à haut risque impliquant des données publiques sensibles d’ici juillet 2025.
Ce qui n’a pas encore été déterminé, cependant, c’est de savoir si les travailleurs du DOGE ont violé plusieurs lois américaines en abandonnant les protocoles de sécurité et pourquoi ils se sont engagés dans ce que Borges dit être des pratiques de gestion des données très risquées et dangereuses.
Qu’ont fait les travailleurs Doge?
La plainte de Borges identifie quatre membres du personnel Doge comme les coupables derrière cette décision, notamment Edward Coristine, surnommé «Big Balls», un programmeur Doge de 19 ans qui est devenu un employé du gouvernement à plein temps en mai, atterrissant à la SSA en juin; Aram Moghaddassi, qui a travaillé pour Doge au ministère du Travail et est devenu CIO de SSA en juin; John Solly, décrit comme une embauche alignée sur les doges, aurait rejoint la SSA en mars 2025 au bureau du CIO; et Michael Russo, qui a été CIO de la SSA de février 2025 à fin mars 2025, date à laquelle il a été remplacé par Scott Coulter et s’est transformé à un rôle de conseiller spécial dans la SSA axé sur la «modernisation de sa technologie archaïque».
Coristine et Moghaddassi ont effectué un stage ou ont travaillé pour Musk avant de rejoindre le gouvernement, tandis que Russo était un cadre d’une entreprise technologique qui effectue le traitement des paiements pour Musk’s StarLink.
Selon la plainte, sous l’autorité de Moghaddassi, les Doge Workers ont créé une copie des informations sur la sécurité sociale du pays en téléchargeant une copie de production en direct de la base de données du système d’identification numérique (NUMIDENT) vers un environnement cloud d’essai Amazon en dehors des protocoles de sécurité mandatés, ce qui est impossible pour le gouvernement fédéral qui a accédé ou qui accéde aux données.
La base de données Nudent contient toutes les données soumises dans une demande de carte de sécurité sociale des États-Unis, y compris le nom du demandeur, du lieu et de la date de naissance, de la citoyenneté, de la race et de l’ethnicité, des noms des parents et des numéros de sécurité sociale, le numéro de téléphone, l’adresse et d’autres informations personnelles.
Borges dit dans la plainte que le 12 juin 2025, un fonctionnaire de carrière au bureau du directeur de l’information (OCIO) a partagé un «formulaire de demande d’acceptation des risques» officielle avec Moghaddassi et un cadre de carrière en SSA répondant apparemment à une demande de juin du 10 au 11 juin dans le SSA ACCEPS à SSA ACCEPT ACCEP L’évaluation des risques a caractérisé le mouvement des DOGE comme un «risque élevé».
Néanmoins, les travailleurs DOGE ont obtenu un accès administratif au cloud, après quoi Borges soutient que le Bureau de la sécurité de l’information (OIS) a déclaré qu’il était impermisable de déplacer les données de production de Numident vers l’environnement de test. Mais le 25 juin, les responsables du CIO ont obtenu l’autorisation de Michael Russo pour John Solly pour télécharger des données de production de Numident à l’environnement du cloud de test de Doge, qui manquait de contrôles de sécurité indépendants et de contournement des protocoles de sécurité.
Le 25 juillet, Moghaddassi a autorisé une «autorisation provisoire à opérer», apparemment pour le projet Cloud Nudent, déclarant: «J’ai déterminé que le besoin commercial est plus élevé que le risque de sécurité associé à cette mise en œuvre et j’accepte tous les risques associés à cette mise en œuvre et à cette opération.»
Après cela, Borges a déclaré qu’il avait soulevé à plusieurs reprises en interne ses préoccupations concernant la sécurité des données, contactant en par Coristine, Solly, et Mickie Tyquingco, officier exécutif du front office de l’OICO, pour demander des informations sur ses problèmes de sécurité. Sur la base de la non-respect des directeurs impliqués, Borges soutient que «la création de l’environnement cloud auto-administré spécifique à Doge, dépourvu de contrôles de sécurité indépendants et accueillant une copie de Nudent constitue un abus d’autorité, une mauvaise gestion grave, une menace substantielle et spécifique pour la santé et la sécurité publique, et la violation potentielle de la loi, de la règle ou de la réglementation.»
Les Doge Workers ont-ils violé la loi?
En vertu de la Federal Information Security Management Act (FISMA), tous les systèmes d’information exploités par ou au nom du gouvernement fédéral américain doivent obtenir une autorisation d’opérer (ATO). Le but d’un ATO est de minimiser les risques de sécurité auxquels ces systèmes pourraient être exposés.
Conforme à l’ATO sous FISMA nécessite l’achèvement de cinq étapes: analyser l’impact qu’une catastrophe ou une attaque sur les données aurait sur le public et l’agence; élaborer un plan de sécurité et de confidentialité du système; inviter les experts à évaluer et à vérifier le plan; Signature du plan par le fonctionnaire d’autorisation, le responsable de la sécurité de l’information et le propriétaire du système; et élaborer un plan pour une surveillance continue.
Pour obtenir un fonctionnaire du gouvernement, comme un CIO ou un CISO, pour signer un ATO sous FISMA, les systèmes gouvernementaux doivent respecter une liste de contrôles de sécurité contenus dans une publication par le National Institute of Standards and Technology, NIST SP 800-53. FISMA exige que les agences fédérales mettent en œuvre les directives de la NIST, respectant le NIST SP 800-53 obligatoire pour l’obtention d’un ATO.
Skinner ajoute: « Lorsque les employés de la SSA ont résisté à la tentative de Doge de déplacer des données en dehors de l’ATO, Doge s’est écrit un ATO provisoire, qui est une chose réelle mais pas un chèque en blanc pour contourner les règles de sécurité, éviter la surveillance et exposer les données personnelles des Américains. Doge l’a traité comme un chèque vide. »
La plainte allègue que le manque de documentation appropriée des contrôles viole probablement le FISMA en plaçant un actif de grande valeur contenant des données sur plus de 450 millions d’Américains et des non-citoyens éligibles, dans un environnement incontrôlé. Il allègue également que l’ATO provisoire viole la loi de 1974 de 1974, «qui oblige les agences à maintenir des informations personnelles avec précision, pertinence, inhabitude et exhaustivité, si nécessaire pour assurer l’équité dans les déterminations sur les individus. Placer les données de production dans des environnements cloud sans contrôles de sécurité indépendants violent ces exigences de maintenance.»
Enfin, la plainte fait valoir que ce que Doge a fait viol la loi sur la fraude et les abus informatiques en facilitant l’accès non autorisé aux systèmes informatiques protégés.
Pourquoi Doge a-t-il fait cela?
La justification indiquée de Moghaddassi selon laquelle le «besoin commercial est plus élevé que le risque de sécurité» et une déclaration antérieure par Solly que le mouvement des données était nécessaire pour améliorer la façon dont les données SSA échangent des données fournissent peu de choses sur ce que Doge a l’intention de faire avec les données.
It’s possible that the DOGE team decided to move the NUMIDENT database to better comply with a March executive order issued by Trump, entitled “Stopping Waste, Fraud, and Abuse by Eliminating Information Silos,” which directed agencies to rescind or modify all guidance that serves as a barrier to the inter- or intra-agency sharing of unclassified information and give the DOGE team and other federal officials access to all unclassified records, data, software systems, and information technology systems across Toutes les agences civiles fédérales.
La société d’analyse et de technologie des données Palantir aurait aider l’administration Trump à compiler une liste principale des informations personnelles sur les Américains pour obtenir cette initiative anti-silo, qui dépend des données SSA et IRS.
Il est également concevable que l’équipe DOGE cherchait à poursuivre le développement d’une base de données maître chez DHS pour suivre et surveiller les immigrants sans papiers, qui dépend principalement de l’accès à la base de données SSA. Une foule d’autres initiatives de Trump-Doge, y compris un plan pour pousser les technologies de l’IA à travers le gouvernement fédéral, pourrait également être un facteur de motivation pour Doge pour éloigner les données de SSA et d’autres systèmes gouvernementaux des systèmes non régis par les protocoles de sécurité.
Quelle que soit la motivation, Doge a peut-être engagé des actions similaires à travers le gouvernement fédéral où l’initiative vaguement définie a hébergé ses travailleurs, notamment la General Services Administration, l’administration des anciens combattants, le ministère de la Santé et des Services sociaux, l’Internal Revenue Service, etc.
La révélation que Doge a violé les protocoles de sécurité à la SSA «est probablement plus une pointe de la situation d’iceberg», spécule Skinner. « Je suppose que c’est ce qu’ils font partout. Il semble qu’ils se déplacent et ouvrent la sécurité dans ces agences et prennent les données et l’éloignent d’un endroit où des experts en sécurité au sein du gouvernement peuvent voir ce qu’ils en font. »
