Un rapport conclut que le DOGE d'Elon Musk enfreint les règles de cybersécurité et de confidentialité et transfère des informations sensibles vers des serveurs « sans aucun contrôle de sécurité vérifié »Des sénateurs démocrates ont averti dans un rapport que le Département de l'efficacité gouvernementale (DOGE), une initiative créée par Elon Musk, enfreignait les lois fédérales sur la cybersécurité et la confidentialité dans trois agences fédérales : la GSA, l'OPM et la SSA. Leur rapport cite des révélations de lanceurs d'alerte et des évaluations internes détaillant l'accès non contrôlé aux données personnelles des Américains, y compris un risque élevé de violations de données aux « effets néfastes catastrophiques », et demande la suspension immédiate des actions du DOGE jusqu'à ce que les normes de sécurité fédérales soient respectées.
Ces préoccupations du Sénat s'appuient sur des décisions judiciaires antérieures rendues à l'encontre du DOGE. En février dernier, les tribunaux avaient déjà bloqué l'accès du DOGE aux informations sensibles du ministère de l'Éducation et du Bureau de la gestion du personnel, à la suite d'une plainte déposée contre l'agence. L'ordonnance indiquait que le gouvernement américain avait violé la loi sur la protection de la vie privée en divulguant des données personnelles au DOGE d'Elon Musk, invoquant le risque de préjudice irréparable pour la vie privée des individus.
Ces défis juridiques ont été aggravés par les révélations de lanceurs d'alerte. Daniel Berulis, technicien informatique au National Labor Relations Board (NLRB), a affirmé que les ingénieurs de DOGE avaient exfiltré environ 10 gigaoctets de données sensibles des systèmes informatiques de l'agence. Il a déclaré que les protocoles de connexion avaient été modifiés pour dissimuler les accès et permettre le transfert de données relatives à des activités syndicales, à des informations commerciales sensibles et à des témoignages privés.
Selon le rapport publié le jeudi 25 septembre par les démocrates de la commission sénatoriale chargée de la sécurité intérieure et des affaires gouvernementales, les pratiques du DOGE dans trois agences fédérales « enfreignent les exigences légales, créant ainsi des risques sans précédent en matière de confidentialité et de cybersécurité ».
Ce rapport, qui s'appuie sur divers articles de presse, des documents juridiques, des révélations faites à la commission par des lanceurs d'alerte et des visites effectuées par des membres du personnel dans les agences, conclut que le DOGE créé par Elon Musk « opère en dehors du cadre légal fédéral, avec un accès illimité aux données personnelles des Américains ». Il se concentre sur les activités du DOGE au sein de l'Administration des services généraux (GSA), du Bureau de la gestion du personnel (OPM) et de l'Administration de la sécurité sociale (SSA).
Une plainte d'un lanceur d'alerte qui n'avait pas été signalée auparavant indique qu'au sein de la SSA, une évaluation interne des risques réalisée en juin a révélé que le risque d'une violation de données ayant des « effets néfastes catastrophiques » se situait entre 35 % et 65 % après que le DOGE ait téléchargé un fichier de base de données informatique appelé Numident, contenant des informations personnelles sensibles sans protection supplémentaire contre les accès non autorisés. Selon l'évaluation, les implications potentielles comprenaient « la divulgation généralisée d'informations personnelles identifiables (PII) ou la perte de données » et « des dommages catastrophiques ou la perte d'installations et d'infrastructures de l'agence, avec des décès ».
« Le DOGE ne rend pas le gouvernement plus efficace, il met les informations sensibles des Américains entre les mains d'individus totalement incompétents et indignes de confiance », a déclaré Gary Peters, sénateur du Michigan et principal démocrate de la commission, dans un communiqué de presse. « Ils contournent les mesures de cybersécurité, échappent à toute surveillance et mettent en danger les données personnelles des Américains. Nous ne pouvons pas permettre à cette opération clandestine de se poursuivre sans contrôle alors que des millions de personnes sont confrontées à la menace d'usurpation d'identité, de perturbations économiques et de préjudices permanents. L'administration Trump et les dirigeants de l'agence doivent immédiatement mettre un terme à ces actions imprudentes qui risquent de provoquer un chaos sans précédent dans la vie quotidienne des Américains. »
Le rapport recommande de retirer au DOGE tout accès aux informations personnelles sensibles jusqu'à ce que les agences certifient que l'initiative est conforme aux lois fédérales en matière de sécurité et de confidentialité, telles que la loi fédérale sur la gestion de la sécurité de l'information (Federal Information Security Management Act), et recommande que les employés du DOGE suivent la même formation en matière de cybersécurité que les autres employés fédéraux.
Il décrit les trois agences qui bloquent l'accès à certains bureaux ou qui en entravent l'accès d'une autre manière. Par exemple, il indique que DOGE a installé un réseau Starlink à la GSA, mais n'a pas autorisé le personnel à le consulter. Starlink est le service Internet par satellite appartenant à Elon Musk, et le rapport conclut que Starlink aurait pu permettre au personnel du DOGE de contourner la surveillance informatique de l'agence. Les données transmises via le réseau « pourraient être une cible facile pour des adversaires étrangers », indique le rapport.
Le rapport revient également sur une tentative présumée de la SSA de créer une « base de données centrale » qui regrouperait les données de plusieurs agences fédérales. Selon les révélations d'un lanceur d'alerte, John Koval, ancien employé du DOGE de la SSA, s'est renseigné sur la possibilité de télécharger les données de l'agence dans un environnement cloud afin de les partager avec le département de la Sécurité intérieure. Il a été « éconduit », indique le rapport, mais a ensuite travaillé au DHS et au ministère de la Justice, où les données de la SSA ont fait surface dans certains projets, soulevant de nouvelles préoccupations en matière de confidentialité.
Il revient sur les inquiétudes concernant Edward « Big Balls » Coristine, membre du personnel du DOGE, qui aurait accès à des données sensibles de l'agence malgré les informations selon lesquelles il aurait été licencié d'un stage dans une entreprise de cybersécurité pour avoir divulgué des informations confidentielles à un concurrent, et arrive à d'autres conclusions concernant le risque que représentent Edward Coristine et d'autres personnes « capables de transférer des données hautement sensibles de la SSA vers un environnement cloud non surveillé ».
« Il est très probable que des adversaires étrangers, tels que la Russie, la Chine et l'Iran, qui tentent régulièrement de mener des cyberattaques contre le gouvernement américain et ses infrastructures critiques, soient déjà au courant de ce nouvel environnement cloud DOGE », indique le rapport.
Deux des agences visées par le rapport ont contesté les conclusions du rapport.
« L'OPM prend très au sérieux sa responsabilité de protéger les dossiers du personnel fédéral », a déclaré McLaurine Pinover, porte-parole du bureau. « Ce rapport recycle des allégations infondées concernant des soi-disant « équipes DOGE » qui n'ont tout simplement jamais existé à l'OPM. Les employés fédéraux de l'OPM exercent leurs fonctions conformément aux exigences légales, sécuritaires et réglementaires en vigueur depuis longtemps. »
« Au lieu de ressasser des allégations sans fondement, les sénateurs démocrates devraient concentrer leurs efforts sur les véritables défis auxquels est confronté le personnel fédéral », a-t-elle poursuivi. « L'OPM reste attachée à la transparence, à la responsabilité et à la satisfaction des attentes du peuple américain. »
La SSA a fait référence à la lettre adressée par le commissaire Frank Bisignano au Congrès en réponse aux questions concernant les problèmes de sécurité liés à Numident.
« D'après l'examen approfondi mené par l'agence, les données et la base de données Numident, stockées dans un environnement sécurisé utilisé depuis longtemps par la SSA, n'ont pas fait l'objet d'accès, de fuites, de piratage ou de partage non autorisés », a écrit un porte-parole de la SSA, ajoutant : « L'emplacement mentionné dans la dénonciation est en fait un serveur sécurisé dans l'infrastructure cloud de l'agence qui héberge depuis toujours ces données et qui est surveillé et contrôlé en permanence, conformément à la pratique habituelle de la SSA. »
Le porte-parole de la SSA a souligné qu'il n'y avait aucun employé du DOGE à la SSA, mais uniquement des employés de l'agence.
Les inquiétudes concernant le traitement des données personnelles par le DOGE ne sont cependant pas nouvelles. En mars 2025, la juge Ellen Hollander, du tribunal du district du Maryland, a ordonné à Elon Musk, à Amy Gleason (chef du service DOGE) et à leurs équipes de supprimer toutes les données personnelles non anonymisées obtenues auprès de la SSA. Elle a souligné que les pratiques du DOGE exposaient des millions de personnes à une utilisation abusive de leurs informations personnelles. L'ordonnance a également bloqué l'accès illimité du DOGE aux dossiers de l'Administration de la sécurité sociale.
D'autres controverses relatives à des incidents internes ont également mis en lumière des failles plus profondes. Des rapports récents ont révélé qu'un ordinateur appartenant à un ingénieur du DOGE avait été infecté par un logiciel malveillant de vol d'informations, tandis que l'embauche d'Edward Coristine, lié au groupe cybercriminel « The Com », a mis en évidence des défaillances dans le processus de recrutement. Ces dysfonctionnements s'illustrent également dans l'affaire Kyle Schutt, un ingénieur de la CISA et du DOGE dont les identifiants ont fuité à plusieurs reprises via des « stealers », mettant en lumière des négligences critiques en matière de cybersécurité. Ces manquements successifs soulèvent des questions quant à l'efficacité réelle des protocoles de sécurité au sein des agences fédérales.
Source : Rapport de la commission sénatoriale chargée de la sécurité intérieure et des affaires gouvernementales
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de ce rapport crédibles ou pertinentes ?Voir aussi :
Un employé du DOGE d'Elon Musk a enfreint la politique du Trésor en envoyant par courriel des données personnelles non chiffrées à l'administration Trump, d'après un dépôt auprès du tribunal
Des adresses IP russes accèderaient aux données du gouvernement américain via le DOGE de Musk, un lanceur d'alerte révèle une intrusion de haut niveau à l'aide d'un identifiant et d'un mot de passe approuvés
Une cour d'appel a permis au DOGE du milliardaire Elon Musk d'accéder à nouveau aux données personnelles privées de trois agences fédérales, une victoire pour l'administration Trump
Vous avez lu gratuitement 10 455 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.