Des sénateurs démocrates ont averti dans un rapport que le Département de l'efficacité gouvernementale (DOGE), une initiative créée par Elon Musk, enfreignait les lois fédérales sur la cybersécurité et la confidentialité dans trois agences fédérales : la GSA, l'OPM et la SSA. Leur rapport cite des révélations de lanceurs d'alerte et des évaluations internes détaillant l'accès non contrôlé aux données personnelles des Américains, y compris un risque élevé de violations de données aux « effets néfastes catastrophiques », et demande la suspension immédiate des actions du DOGE jusqu'à ce que les normes de sécurité fédérales soient respectées.Ces préoccupations du Sénat s'appuient sur des décisions judiciaires antérieures rendues à l'encontre du DOGE. En février dernier, les tribunaux avaient déjà bloqué l'accès du DOGE aux informations sensibles du ministère de l'Éducation et du Bureau de la gestion du personnel, à la suite d'une plainte déposée contre l'agence. L'ordonnance indiquait que le gouvernement américain avait violé la loi sur la protection de la vie privée en divulguant des données personnelles au DOGE d'Elon Musk, invoquant le risque de préjudice irréparable pour la vie privée des individus.
Ces défis juridiques ont été aggravés par les révélations de lanceurs d'alerte. Daniel Berulis, technicien informatique au National Labor Relations Board (NLRB), a affirmé que les ingénieurs de DOGE avaient exfiltré environ 10 gigaoctets de données sensibles des systèmes informatiques de l'agence. Il a déclaré que les protocoles de connexion avaient été modifiés pour dissimuler les accès et permettre le transfert de données relatives à des activités syndicales, à des informations commerciales sensibles et à des témoignages privés.
Selon le rapport publié le jeudi 25 septembre par les démocrates de la commission sénatoriale chargée de la sécurité intérieure et des affaires gouvernementales, les pratiques du DOGE dans trois agences fédérales « enfreignent les exigences légales, créant ainsi des risques sans précédent en matière de confidentialité et de cybersécurité ».
Ce rapport, qui s'appuie sur divers articles de presse, des documents juridiques, des révélations faites à la commission par des lanceurs d'alerte et des visites effectuées par des membres du personnel dans les agences, conclut que le DOGE créé par Elon Musk « opère en dehors du cadre légal fédéral, avec un accès illimité aux données personnelles des Américains ». Il se concentre sur les activités du DOGE au sein de l'Administration des services généraux (GSA), du Bureau de la gestion du personnel (OPM) et de l'Administration de la sécurité sociale (SSA).
Une plainte d'un lanceur d'alerte qui n'avait pas été signalée auparavant indique qu'au sein de la SSA, une évaluation interne des risques réalisée en juin a révélé que le risque d'une violation de données ayant des « effets néfastes catastrophiques » se situait entre 35 % et 65 % après que le DOGE ait téléchargé un fichier de base de données informatique appelé Numident, contenant des informations personnelles sensibles sans protection supplémentaire contre les accès non autorisés. Selon l'évaluation, les implications potentielles comprenaient « la divulgation généralisée d'informations personnelles identifiables (PII) ou la perte de données » et « des dommages catastrophiques ou la perte d'installations et d'infrastructures de l'agence, avec des décès ».
« Le DOGE ne rend pas le gouvernement plus efficace, il met les informations sensibles des Américains entre les mains d'individus totalement incompétents et indignes de confiance », a déclaré Gary Peters, sénateur du Michigan et principal démocrate de la commission, dans un communiqué de presse. « Ils contournent les mesures de cybersécurité, échappent à toute surveillance et mettent en danger les données personnelles des Américains. Nous ne pouvons pas permettre à cette opération clandestine de se poursuivre sans contrôle alors que des millions de personnes sont confrontées à la menace d'usurpation d'identité, de perturbations économiques et de préjudices permanents. L'administration Trump et les dirigeants de l'agence doivent immédiatement mettre un terme à ces actions imprudentes qui risquent de provoquer un chaos sans précédent dans la vie quotidienne des Américains. »
Le rapport recommande de retirer au DOGE tout accès aux informations personnelles sensibles jusqu'à ce que les agences certifient que l'initiative est conforme aux lois fédérales en matière de sécurité et de confidentialité, telles que la loi fédérale sur la gestion de la sécurité de l'information (Federal Information Security Management Act), et recommande que les employés du DOGE suivent la même formation en matière de cybersécurité que les autres employés fédéraux.
Il décrit les trois agences qui bloquent l'accès à certains bureaux ou qui en entravent l'accès d'une autre manière. Par exemple, il indique que DOGE a installé un réseau Starlink à la GSA, mais n'a pas autorisé le personnel à le consulter. Starlink est le service Internet par satellite appartenant à Elon Musk, et le rapport conclut que Starlink aurait pu permettre au personnel du DOGE de contourner la surveillance informatique de l'agence. Les données transmises via le réseau « pourraient être une cible facile pour des adversaires étrangers », indique le rapport.
Le rapport revient également sur une tentative présumée de la SSA de créer une « base de données centrale » qui regrouperait les données de plusieurs agences fédérales. Selon les révélations d'un lanceur d'alerte, John Koval, ancien employé du DOGE de la SSA, s'est renseigné sur la possibilité de télécharger les données de l'agence dans un environnement cloud afin de les partager avec le département de la Sécurité intérieure. Il a été « éconduit », indique le rapport, mais a ensuite travaillé au DHS et au ministère de la Justice, où les données de la SSA ont fait surface dans certains projets, soulevant de nouvelles préoccupations en matière de confidentialité.
Il revient sur les inquiétudes concernant Edward « Big Balls » Coristine, membre du personnel du DOGE, qui aurait accès à des données sensibles de l'agence malgré les informations selon lesquelles il aurait été licencié d'un stage dans une entreprise de cybersécurité pour avoir divulgué des informations confidentielles à un concurrent, et arrive à d'autres conclusions concernant le risque que représentent Edward Coristine et d'autres personnes « capables de transférer des données hautement sensibles de la SSA vers un environnement cloud non surveillé ».
« Il est très probable que des adversaires étrangers, tels que la Russie, la Chine et l'Iran, qui tentent régulièrement de mener des cyberattaques contre le gouvernement américain et ses infrastructures critiques, soient déjà au courant de ce nouvel environnement cloud DOGE », indique le rapport.
Deux des agences visées par le rapport ont contesté les conclusions du rapport.
« L'OPM prend très au sérieux sa responsabilité de protéger les dossiers du personnel fédéral », a déclaré McLaurine Pinover, porte-parole du bureau. « Ce rapport recycle des allégations infondées concernant des soi-disant « équipes DOGE » qui n'ont tout simplement jamais existé à l'OPM. Les employés fédéraux de l'OPM exercent leurs fonctions conformément aux exigences légales, sécuritaires et réglementaires en vigueur depuis longtemps. »
« Au lieu de ressasser des allégations sans fondement, les sénateurs démocrates devraient concentrer leurs efforts sur les véritables défis auxquels est confronté le personnel fédéral », a-t-elle poursuivi. « L'OPM reste attachée à la transparence, à la responsabilité et à la satisfaction des attentes du peuple américain. »
La SSA a fait référence à la lettre adressée par le commissaire Frank Bisignano au Congrès en réponse aux questions concernant les problèmes de sécurité liés à Numident.
« D'après l'examen approfondi mené par l'agence, les données et la base de données Numident, stockées dans un environnement sécurisé utilisé depuis longtemps par la SSA, n'ont pas fait l'objet d'accès, de fuites, de piratage ou de partage non autorisés », a écrit un porte-parole de la SSA, ajoutant : « L'emplacement mentionné dans la dénonciation est en fait un serveur sécurisé dans l'infrastructure cloud de l'agence qui héberge depuis...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.