Les opératives travaillant pour Elon Musk ont acquis un accès non rédigé à une bande de services gouvernementaux américains – y compris les agences responsables de la gestion des données sur des millions d’employés fédéraux et un système qui gère 6 billions de dollars de paiements aux Américains.
Au cours des trois premières semaines de la deuxième administration de Trump, le groupe de représentants de Musk – un conseil consultatif présidentiel connu sous le nom de Département du gouvernement efficace, ou DOGE – a pris le contrôle des principaux départements fédéraux et ensembles de données, malgré des questions sur leurs autorisations de sécurité, leurs pratiques de cybersécurité , et la légalité des activités de Musk.
Qu’il s’agisse d’un exploit ou d’un coup d’État (qui dépend intégré de votre point de vue), un petit groupe de jeunes sectoriels principalement jeunes employés dans les affaires et les associations de Musk sans aucune expérience du gouvernement préalable maintenant et, dans certaines boîtes, le contrôle Les données les plus sensibles du gouvernement fédéral se sont déroulées sur des millions d’Américains et les alliés les plus proches du pays.
L’accès de l’équipe Doge de Musk réimprime le compromis le plus connu des données du gouvernement fédéral par un groupe privé de particuliers et peu de choses ont gêné leur chemin.
Doge a reconnu peu de détails sur ses activités nagoing. Cette tâche a été laissée aux médias, qui a signalé des pratiques de cybersécurité douteuses et la rupture des normes de cybersécurité de longue date qui risquent les données gouvernementales sensibles à l’accès par des acteurs néfastes.
Une grande partie du travail de Doge est la surveillance et la transparence, laissant des questions ouvertes entoure que la cybersécurité et les pratiques privées sont suivies. Il n’est pas clair que les membres du personnel de Doge suivent les procédures pour empêcher que ces données soient accélérées par d’autres personnes, ou si d’autres mesures sont prises pour protéger les données sensibles sur les Américains.
Jusqu’à présent, les preuves suggèrent que la sécurité n’est pas en tête.
Par exemple, un membre du personnel de Doge aurait utilisé un compte Gmail personnel pour accéder à un appel gouvernemental, et une poursuite nouvellement déposée par les dénonciateurs fédéraux affirme que Doge a ordonné qu’un serveur de messagerie non autorisé soit connecté au réseau gouvernemental, ce qui viole la loi fédérale sur la confidentialité. Les membres du personnel de Doge seraient également alimentés par les données sensibles d’au moins un département du gouvernement dans les logiciels d’IA.
Que les membres du personnel de Doge soient de mauvais acteurs manquent une partie du point. Des actes de subterfuge, d’espionnage ou d’ignorance qui sont le même résultat sous-optimal: exposition ou perte des ensembles de données sensibles de la nation.
Pour l’instant, cela vaut la peine de voir comment nous sommes arrivés ici.
Délies de sécurité douteuses
La facilité dans laquelle Doge a repris le département et leurs vastes magasins de données des Américains ont pris surprise les responsables de la carrière et les législateurs américains, qui continue de chercher des réponses à l’administration Trump.
Les efforts de Musk pour prendre le contrôle des magasins DAT du pays ont également alarmé privé les professionnels de la cybersécurité, dont certains ont passé leur carrière dans le gouvernement dédié à la sécurisation des systèmes et des données les plus sensibles des Américains.
Des questions demeurent sur le niveau d’autorisation de sécurité que le personnel du DOGE a et où leur autorisation de sécurité provisoire lui donne le pouvoir de demander au système fédéral restreint. À son retour aux fonctions, Trump a signé un décret exécutif permettant aux responsables de l’administration d’accorder un «total secret» et une autorisation de sécurité compartimentée aux individus à titre intérimaire avec peu ou pas de vérification substantielle, un écart vif des protocoles longs.
La confusion sur les dégagements du personnel de Doge a conduit à de brèves affrontements entre plusieurs responsables de carrière dans les services fédéraux ces derniers jours. Selon l’Associated Press, à l’agence américaine pour le développement international (USAID), des hauts fonctionnaires ont été mis en congé pour protéger les informations classifiées, selon l’Associated Press. Doge a par la suite eu accès à l’installation classifiée de l’USAID, qui contenait des renseignements.
Katie Miller, une avocate pour Doge, a déclaré dans un article sur X qu’aucun matériel classifié n’a été accéléré par Doge « sans autorisation de sécurité des propeurs », bien que les détails de l’autorisation de l’équipe restent non spécifiés, y compris le nombre de personnes qui accordent les autorisations secrètes par intérim.
Plusieurs législateurs du Comité sénatorial du renseignement ont déclaré mercredi qu’ils cherchaient toujours des réponses sur Doge et quelle autorisation ses membres ont.
«Aucune information n’a été fournie au Congrès ou au public quant à qui a été officiellement embauché sous Doge, en vertu de ce qui fonctionne Doge ou des réglementations, ou comment Doge vérifie et surveillait son personnel et ses représentants avant de leur fournir un accès apparemment sans entrave aux materales classifiées et Les informations personnelles des Américains « , ont écrit les sénateurs.
La prise de contrôle du gouvernement fédéral de Doge
Dans une semaine après l’inauguration du président Trump – et son décret établissant Doge – les membres du personnel de Musk ont commencé à infiltrant une variété d’agences fédérales. Les systèmes de paiement sensibles du Trésor américain, qui contiennent des informations personnelles de millions d’Américains qui réencègent du gouvernement, des remboursements fiscaux aux chèques de sécurité sociale, a été parmi les premiers.
DOGE a AGSO a eu accès au Bureau de la gestion personnelle, au département des ressources humaines du gouvernement qui comprend des bases de données sur les informations personnelles de tous les travailleurs fédéraux, et USAJOBS, qui possède des données sur les candidats qui ont postulé pour un emploi fédéral.
Les responsables de l’OPM ont déclaré qu’ils n’avaient aucune visibilité ni surveillance sur l’accès de Musk à son système. « Cela crée de vraies implications de cybersécurité et de piratage », ont-ils déclaré à Reuters.
L’activité de Doge a conduit à une opposition généralisée, incluse de certains républicains.
Le sénateur Ron Wyden (D-OR), qui est le démocrate le plus haut de gamme du comité des finances sénatoriales, a appelé l’accès de Musk aux paiements fédéraux sensibles un risque de sécurité nationale, compte tenu du conflit d’intérêts sur ses vastes opérations commerciales en Chine. Un groupe de démocrates supérieurs a déclaré plus tard dans une lettre au Trésor que l’accès de Doge aux données gouvernementales sensibles « pourrait irréparablement la sécurité nationale ».
Dans un article sur Bluesky, le stratège républicain de formation Stuart Stevens a appelé la prise de contrôle des systèmes du Trésor «la fuite de données les plus significatives de la cyber d’histoire», ajoutant: «Les particuliers dans le secteur des données ont désormais accès à votre sécurité sociale».
Le Trésor a défendu sa décision d’accorder l’accès aux systèmes de paiement sensibles du ministère, confirmant dans une réponse non attribuée aux législateurs démocrates que l’équipe Doge de Musk a accès aux banques d’informations personnelles du Trésor sur les Américains. Tom Krause, le PDG de Cloud Software Group, qui possède Citrix et plusieurs autres sociétés technologiques, est maintenant un trésor principal utilisé en tant que secrétaire adjoint et contrôle sur des milliards de dollars de fonds publics.
Doge a depuis eu accès à plusieurs systèmes internes sensibles au ministère de l’Éducation, y compris des ensembles de données contenant les informations personnelles sur des millions d’étudiants inscrits à une aide financière. Le Washington Post rapporte que les employés de Doge ont nourri des données sensibles et des données financières du département dans un système d’IA pour sonder les dépenses de l’agence. Le personnel de Doge a également demandé des systèmes «accès à tous» de la Small Business Administration, y compris des contrats, des paiements et des informations sur les ressources humaines.
L’équipe de Musk aurait également accès au système de paiement avec le Département américain de la santé et des services sociaux, et accès aux données de l’agence américaine qui administrent Medicare et Medicaid.
Doge accéde également aux systèmes personnels à la National Oceanic and Atmospheric Administration (NOAA) et prévoit d’accéder aux systèmes d’aviation de la Federal Aviation Administration après que le secrétaire aux transports Sean Duffy accorde à Doge Access. Musk a déclaré dans un article sur X que Doge prévoit de «faire des améliorations de sécurité rapides au système de contrôle du trafic aérien», sans fournir de détails.
Plus tard, Doge a eu accès aux systèmes informatiques du ministère de l’Énergie, malgré les contours signalés par les responsables de l’absence d’une vérification des antécédents standard sur le personnel de Doge. Les membres du personnel de Musk auraient également un accès en lecture seule aux données au sein du Watchdog de la consommation fédérale, le Bureau financier des consommateurs.
Ramifications nationales et mondiales
Il existe des risques de sécurité incalculables qui proviennent de l’accès au noyau de données intérieur du gouvernement américain à un groupe de personnes non liées et privées avec une vérification parasite.
Pour n’en nommer que quelques-uns qui pourraient mal tourner: l’accès au réseautage gouvernemental à partir d’un ordinateur non appliqué hébergeant des logiciels malveillants peut compromettre d’autres appareils sur le réseau fédéral et permettre le vol d’informations gouvernementales sensibles, sans rendez-vous de ce qu’elle est classée. Et la mauvaise gestion des informations personnelles sur les appareils ou les cloud qui n’ont pas mis les normes des principales spécifications de sécurité du gouvernement, ni utilisent les contrôles de sécurité les plus solides, met ces données à risque de compromettre ou de fuite supplémentaire.
Ce ne sont pas des scénarios improbables; Ces types de violations se produisent tout le temps.
L’année dernière, l’année dernière a vu certaines des plus grandes violations de données de l’histoire causées par un accès malveillant acquis via les appareils personnels des employés de l’entreprise, qui ont accidentellement installé des logiciels malveillants en téléchargeant des logiciels de knock-off sur leurs ordinateurs et en n’utilisant pas une sécurité appropriée comme le multi-facteurs. Tout compromis des informations d’identification ou de l’accès de l’équipe, ou toute manipulation inappropriée des bases de données sensibles pourrait entraîner la perte irrémédiable, le vol ou le mauvais placement des données gouvernementales sensibles.
Le plus troublant est peut-être Doge, et ses activités fonctionnent en dehors des élections publiques.
Les responsables et les législateurs chargés de la surveillance du gouvernement n’auraient aucun aperçu de Daga au sein du gouvernement ou de ses contrôles ou protections de la cybersécurité – le cas échéant. Les professionnels du département qui ont passé une grande partie de leur carrière à protéger l’accès aux données stockées dans ces systèmes ne peuvent pas faire grand-chose, mais se tenir debout et regarder des particuliers avec peu ou pas d’expérience au gouvernement préalable de leurs ensembles de données les plus sensibles.
L’avocat de la technologie et de la vie privée Cathy Gellis, écrivant dans TechDirt, soutient que Musk et son équipe Doge sont probablement «personnellement lisables» en vertu de la loi fédérale de piratage, connue sous le nom de Loi sur la fraude et les abus informatiques, qui couvre l’accès des systèmes fédéraux sans le Propeer Autorisation. Un tribunal devrait finalement déterminer l’activité de Doge comme «un accès non autorisé» et donc illégal, a écrit Gellis.
Il y a aussi la question de savoir comment les gouvernements des États américains réagiront au compromis des données de leurs résidents au niveau fédéral. Les États américains ont des lois sur les données de données exigeant la protection des données de leurs citoyens, même si le gouvernement fédéral ne le fait pas. Une coalition de plus d’une douzaine de procureurs généraux de l’État démocrate a déclaré qu’ils déposeraient une action en justice pour bloquer les Doge accès à des systèmes de paiement du gouvernement fédéral sensibles contenant des données personnelles sur les Américains, sans fournir de calendrier.
L’accès met également des relations avec les États-Unis et ses alliés diplomatiques sur la grille tremblante. Les nations alliées peuvent ne pas vouloir partager des renseignements avec le gouvernement américain s’ils pensent que les informations pourraient fuir, se renverser dans le domaine public ou se perdre autrement à la suite de la rupture des pratiques de cybersécurité aimées dans la protection des informations sensibles.
En réalité, les conséquences en cybersécurité de l’accès continu de Doge aux services fédéraux et aux ensembles de données peuvent ne pas être connus depuis un certain temps.
Contactez Zack Whittaker sur Signal et WhatsApp à +1 646-755-8849. Vous pouvez également partager des documents en toute sécurité avec TechCrunch via SecuredRop.
Publié pour la première fois le 5 février 2025.
