Les opératives travaillant pour Elon Musk ont acquis un accès non réfléchi à une bande de services gouvernementaux américains – y compris les agences responsables de la gestion des données sur des millions d’employés fédéraux et un système qui gère 6 billions de dollars de paiements aux Américains.
Au cours des deux dernières semaines, le groupe de représentants de Musk – un conseil consultatif présidentiel au sein de l’administration Trump connue sous le nom de Département du gouvernement efficace, ou DOGE – a pris le contrôle des principaux départements fédéraux et des ensembles de données, malgré les questions sur leurs autorisations de sécurité, leurs pratiques de cybersécurité , et la légalité des activités de Musk.
Que ce soit un exploit ou un coup d’État – qui dépend intégré de votre point de vue – un petit groupe de jeunes employés du secteur privé principalement des activités et des associés de Musk – beaucoup sans expérience du gouvernement préalable – peuvent désormais voir et, dans certains cas, contrôler le Contrôlez les données les plus sensibles du gouvernement fédéral détenues sur des millions d’Américains et les alliés les plus proches du pays.
L’accès de l’équipe Doge de Musk réimprime le plus large compromis connu des données du gouvernement fédéral par un groupe privé de particuliers et peu de choses ont gêné.
Doge a reconnu peu de détails sur ses activités nagoing. Cette tâche a été laissée aux médias, qui a signalé des pratiques de cybersécurité douteuses et la rupture des normes de cybersécurité de longue date qui risquent les données gouvernementales sensibles à l’accès par des acteurs néfastes.
Une grande partie du travail de Doge est la surveillance et la transparence, laissant des questions ouvertes où la cybersécurité et les pratiques privées sont suivies. Il n’est pas clair si Doge Inter-Study suit les procédures pour empêcher que ces données soient accélérées par d’autres personnes, ou si d’autres mesures sont prises pour protéger les données sensibles sur les Américains.
Jusqu’à présent, les preuves suggèrent que la sécurité n’est pas en tête.
Par exemple, un membre du personnel de Doge aurait utilisé un compte Gmail personnel pour accéder à l’appel du gouvernement; Et une poursuite nouvellement déposée par les dénonciateurs fédéraux affirme que Dingered a ordonné la connexion d’un serveur de messagerie non autorisé au réseau gouvernemental en violation de la loi fédérale sur la vie privée.
Que les membres du personnel de Doge soient de mauvais acteurs manquent une partie du point. Des actes de subterfuge, d’espionnage ou d’ignorance qui sont le même résultat sous-optimal: exposition ou perte des ensembles de données sensibles de la nation.
Pour l’instant, cela vaut la peine de voir comment nous sommes arrivés ici.
Délies de sécurité douteuses
La facilité dans laquelle Doge a repris le département et leurs vastes magasins de données des Américains ont pris surprise les responsables de la carrière et les législateurs américains, qui continue de chercher des réponses à l’administration Trump.
Les efforts de Musk pour prendre le contrôle des magasins de DAT du pays ont également alarmé privé les professionnels de la cybersécurité, dont certains ont passé leur carrière dans le gouvernement dédié à la sécurisation des systèmes et des données les plus sensibles des Américains.
Des questions demeurent sur le niveau d’autorisation de sécurité que le personnel du DOGE a et où leur autorisation de sécurité provisoire lui donne le pouvoir de demander au système fédéral restreint. À son retour au poste, Trump a signé un décret exécutif permettant aux responsables de l’administration d’accorder un «top secret» et une autorisation de sécurité de compartimentation aux individus à titre provisoire avec peu de vérifications substantielles, un écart vif des protocoles longs.
La confusion sur les dégagements du personnel de Doge a conduit à de brèves affrontements entre plusieurs responsables de carrière dans les ministères fédéraux ces derniers jours. Selon l’Associated Press, à l’agence américaine pour le développement international, ou à l’USAID, des hauts fonctionnaires ont été mis en congé pour protéger les informations classifiées, selon l’Associated Press. Doge a par la suite eu accès à l’installation classifiée de l’USAID, qui contenait des renseignements.
Katie Miller, conseillère de Doge, a déclaré dans un article sur X qu’aucun matériel classifié n’a été accéléré par Doge « sans autorisation de sécurité des propeurs », bien que les détails de l’autorisation de l’équipe restent non spécifiés, y compris le nombre de personnes qui accordent les autorisations secrètes intermédiaires.
Plusieurs législateurs du Comité du renseignement du Sénat ont déclaré mercredi qu’ils cherchaient toujours des réponses sur Doge et de l’autorisation de ses membres.
«Aucune information n’a été fournie au Congrès ou au public quant à qui a été officiellement embauché sous Doge, en vertu de ce qui fonctionne Doge ou des réglementations, ou comment Doge vérifie et surveillait son personnel et ses représentants avant de leur fournir un accès apparemment sans entrave aux materales classifiées et Les informations personnelles des Américains « , ont écrit les sénateurs.
Le contrôle du gouvernement de Doge
Dans une semaine après l’inauguration du président Trump – et son décret établissant Doge – les membres du personnel de Musk ont commencé à infiltrant une variété d’agences fédérales. Les systèmes de paiement sensibles du Trésor américain, qui contiennent des informations personnelles de millions d’Américains qui réencègent du gouvernement, des remboursements fiscaux aux chèques de sécurité sociale, a été parmi les premiers.
Doge a ASO a eu accès au Bureau de la gestion personnelle, au service des ressources humaines du gouvernement qui comprend des bases de données sur les informations personnelles de tous les travailleurs fédéraux, et USAJOBS, qui possède des données sur les candidats qui ont postulé pour un emploi fédéral.
Les responsables de l’OPM ont déclaré qu’ils n’avaient aucune visibilité ni surveillance sur l’accès de Musk à son système. « Cela crée de vraies implications de cybersécurité et de piratage », ont-ils déclaré à Reuters.
L’activité de Doge a conduit à une opposition généralisée, comprenait certains républicains.
Le sénateur Ron Wyden (D-OR), qui est le démocrate le plus senior du comité des finances sénatoriques, a appelé l’accès de Musk aux paiements fédéraux sensibles un risque de sécurité nationale, étant donné le conflit d’intérêts sur ses vastes opérations commerciales en Chine. Un groupe de démocrates supérieurs a déclaré plus tard au Trésor que l’accès de Doge aux données gouvernementales sensibles «pourrait irréparablement la sécurité nationale».
Dans un article sur Bluesky, le stratège républicain de formation Stuart Stevens a qualifié la prise de contrôle des systèmes du Trésor comme «la fuite de données les plus significatives de l’histoire», ajoutant: «Les particuliers dans le secteur des données ont désormais accès à vos informations sur la sécurité sociale . »
Le Trésor a défendu sa décision d’accorder l’accès aux systèmes de paiement sensibles du ministère, confirmant dans une réponse non attribuée aux législateurs démocrates que l’équipe Doge de Musk a accès aux banques d’informations personnelles du Trésor sur les Américains. La lettre confime Tom Krause, directrice générale de Cloud Software Group, qui possède Citrix et plusieurs autres sociétés technologiques, est maintenant un employé du Trésor. Krause n’est pas revenu pour demander comment.
Doge a depuis eu accès à plusieurs systèmes internes sensibles au ministère de l’Éducation, y compris des ensembles de données contenant les informations personnelles sur des millions d’étudiants inscrits à une aide financière. Le personnel de Doge a également demandé «l’accès à tous» les systèmes de la Small Business Administration, y compris les contrats, les paiements et les informations sur les ressources humaines.
L’équipe de Musk aurait également accès au système de paiement avec le Département américain de la santé et des services sociaux, et accès aux données de l’agence américaine qui administrent Medicare et Medicaid. Doge accéde également aux systèmes personnels à la National Oceanic and Atmospheric Administration, ou NOAA, et prévoit d’accéder aux systèmes au ministère des Transports.
Ramifications nationales et mondiales
Il existe des risques de sécurité incalculables qui proviennent de l’accès au noyau de données intérieur du gouvernement américain à un groupe de personnes non liées et privées avec une vérification parasite.
Pour ne nommer que quelques choses qui pourraient mal tourner: l’accès au réseau gouvernemental à partir d’un ordinateur non approuvé hébergeant des logiciels malveillants peut compromettre d’autres appareils sur le réseau fédéral et permettre le vol d’informations gouvernementales sensibles, qu’elle soit classée. Et, la mauvaise gestion des informations personnelles sur les appareils ou les cloud qui n’ont pas mis les normes des principales spécifications de sécurité du gouvernement, ni utilisent les contrôles de sécurité les plus solides, met ces données à risque de compromettre ou de fuite supplémentaire.
Ce ne sont pas des scénarios improbables; Ces types de violations se produisent tout le temps.
L’année dernière, l’année dernière a vu certaines des plus grandes violations de données de l’histoire causées par un accès malveillant acquis via les appareils personnels des employés de l’entreprise, qui ont accidentellement installé des logiciels malveillants en téléchargeant des logiciels de knock-off sur leurs ordinateurs et en n’utilisant pas une sécurité appropriée comme le multi-facteurs. Tout compromis des informations d’identification ou de l’accès de l’équipe, ou toute manipulation inappropriée des bases de données sensibles pourrait entraîner la perte irrémédiable, le vol ou le mauvais placement des données gouvernementales sensibles.
Le plus troublant est peut-être Doge, et ses activités fonctionnent en dehors des élections publiques.
Les fonctionnaires et les législateurs chargés de la surveillance du gouvernement n’auraient pas un aperçu de ce à quoi Doge a accès au sein du gouvernement, ni des contrôles ou protections de la cybersécurité – le cas échéant. Les professionnels du département qui ont passé une grande partie de leur carrière à protéger l’accès aux données stockées dans ces systèmes ne peuvent pas faire grand-chose, mais se tenir debout et regarder des particuliers avec peu ou pas d’expérience au gouvernement préalable de leurs ensembles de données les plus sensibles.
L’avocat de la technologie et de la vie privée Cathy Gellis, écrivant dans TechDirt, soutient que Musk et son équipe Doge sont probablement «personnellement lisables» en vertu de la loi fédérale de piratage, connue sous le nom de Loi sur la fraude et les abus informatiques, qui couvre l’accès des systèmes fédéraux sans le Propeer Autorisation. Un tribunal devrait finalement déterminer l’activité de Doge comme «un accès non autorisé» et donc illégal, a écrit Gellis.
Il y a aussi la question de savoir comment les gouvernements des États américains réagiront au compromis des données de leurs résidents au niveau fédéral. Les États américains ont des lois sur les données de données exigeant la protection des données de leurs citoyens, même si le gouvernement fédéral ne le fait pas. Il reste à voir l’accès de l’équipe de Musk aux systèmes fédéraux provoque une action en justice des statistiques.
L’accès met également des relations avec les États-Unis et ses alliés diplomatiques sur la grille tremblante. Les nations alliées peuvent ne pas vouloir partager des renseignements avec le gouvernement américain s’ils pensent que les informations pourraient fuir, se renverser dans le domaine public ou se perdre autrement à la suite de la rupture des pratiques de cybersécurité aimées dans la protection des informations sensibles.
En réalité, les conséquences en cybersécurité de l’accès continu de Doge aux services fédéraux et aux ensembles de données peuvent ne pas être connus depuis un certain temps.
Contactez Zack Whittaker sur Signal et WhatsApp à +1 646-755-8849. Vous pouvez également partager des documents en toute sécurité avec TechCrunch via SecuredRop.
