Le département de l'efficacité gouvernementale (DOGE) dirigé par Elon Musk subit un nouveau revers. Des experts en cybersécurité se sont amusés à défigurer le site Web de l'agence pour mettre en évidence une faille de sécurité grave due à des « erreurs de configuration élémentaires ». Il s'avère que n'importe qui peut accéder à la base de données du site et la modifier, alors qu'elle contient des données sensibles sur des millions d'Américains. Les experts ajoutent que « le site du DOGE semble avoir été complètement bricolé » et qu'il ne semble pas fonctionner sur des serveurs gouvernementaux. Cela remet en cause la fiabilité de l'équipe du DOGE.
Le site Web du DOGE d'Elon Musk présente une faille de sécurité grave
Elon Musk est un magnat milliardaire de la technologie à la tête de plusieurs entreprises importantes telles que Tesla, SpaceX, xAI... Il est notamment l'homme le plus riche du monde avec une fortune estimée à plus de 400 milliards de dollars. Plus récemment, il a été coopté à la tête du département de l'efficacité gouvernementale (DOGE) créé par le président américain Donald Trump pour réduire les dépenses du gouvernement fédéral et le rendre plus efficace.
À ce titre, Elon Musk et son équipe ont un accès sans précédent à des systèmes financiers américains sensibles contenant des données sur des millions d'Américains. Il se peut toutefois que ces informations hautement sensibles ne soient pas aussi bien protégées que les Américains l'auraient souhaité.
Deux experts en développement Web et en cybersécurité viennent de découvrir que le site "doge.gov", qui est destiné à documenter les actions de l’équipe d’Elon Musk dans la restructuration du gouvernement fédéral des États-Unis, est touché par une faille de sécurité majeure pour le moins surprenante.
Au moins deux entrées de base de données ont été ajoutées par l'un des codeurs pour dire « Ceci est une blague d'un site ".gov" » et « CES "EXPERTS" ONT LAISSE LEUR BASE DE DONNEES OUVERTE -roro ». Les deux pages étaient toujours visibles quelques heures après la publication du rapport de 404Media. Les experts affirment en effet que le site Web du DOGE d'Elon Musk ne répond pas aux normes de sécurité des plateformes du gouvernement fédéral.
Les deux experts qui ont découvert la faille ont requis l'anonymat, car ils sondaient un site Web fédéral. Sonder un site Web fédéral sans autorisation explicite peut être considéré comme une activité illégale, surtout si elle implique des actions non sollicitées comme l'ajout d'une entrée à la base de données.
Les experts suggèrent que le déploiement du site du DOGE a été bâclé
Le site du DOGE a été lancé en janvier, mais à part trois lignes de texte et un logo de type cartoon qui a depuis été supprimé, il est resté pratiquement vide pendant des semaines. Lors d'une conférence de presse le mardi 11 février, Elon Musk a déclaré aux journalistes que le département dont il a la charge essayait d'être aussi transparent que possible. « En fait, nous publions nos actions sur la poignée DOGE sur X, et sur le site Web DOGE », a-t-il déclaré.
À la suite des déclarations d'Elon Musk, le site Web a été mis à jour entre le mercredi 12 et le jeudi 13 février 2025 et affiche maintenant un miroir des messages publié sur X (ex-Twitter) par le compte @DOGE, ainsi que diverses statistiques sur la main-d'œuvre fédérale du gouvernement des États-Unis.
L'une des sources à l'origine de cette découverte a déclaré qu'elle avait pu envoyer des mises à jour à une base de données d'informations sur l'emploi dans le secteur public après avoir étudié l'architecture du site Web et trouvé les points de terminaison de l'API de la base de données. Comme mentionné ci-dessus, cette personne a pu insérer deux entrées dans la base de données non sécurisée et les a ensuite transférées sur le site Web du DOGE.
« On a l'impression que tout a été fait à la va-vite. Des tonnes d'erreurs et de détails ont fuité dans le code source de la page », ont déclaré les experts. Ils ont insisté sur le fait que la façon dont le site Web "doge.gov" est configuré suggère qu'il ne fonctionne pas sur des serveurs gouvernementaux.
Cette découverte s'inscrit dans le cadre des mauvaises pratiques de la Maison Blanche en matière d'administration de sites Web. Le mercredi 12 février 2025, le site "waste.gov" nouvellement créé a été caché et verrouillé après qu'il s'est avéré qu'il affichait principalement un modèle WordPress non modifié.L'un des développeurs à l'origine de la découverte
En fait, "doge.gov" possède sa base de code, probablement via GitHub ou quelque chose comme ça. Ils déploient le site Web sur Cloudflare Pages à partir de leur base de code, et "doge.gov" est un domaine personnalisé sur lequel leur URL "pages.dev" est définie. Par conséquent, plutôt que d'avoir un serveur physique ou même quelque chose comme Amazon Web Services, ils utilisent Cloudflare Pages qui prend en charge les domaines personnalisés.
Un employé du DOGE licencié serait lié à un groupe de cybercriminels
Ce n'est pas la première que le DOGE d'Elon Musk se retrouve sous le feu des critiques. Au début de ce mois, le DOGE a été vivement critiqué après la révélation du passé cybercriminel d’un de ses jeunes membres. Edward Coristine, 19 ans, a des antécédents professionnels et en ligne qui suscitent des interrogations quant à son accès à des systèmes gouvernementaux sensibles, selon des experts en sécurité. Ce dernier aurait été impliqué dans « The Com ».
Il s'agit d'une communauté notoire de pirates informatiques opérant sur des plateformes telles que Discord et Telegram. Cette révélation a soulevé de nombreuses questions sur la sécurité des données auxquelles les employés du DOGE ont accès. Comment les candidats ont-ils été évalués avant leur embauche ?
Elon Musk a été accusé d'être laxiste. Comment un individu avec un tel historique a-t-il pu obtenir un poste lui donnant accès à des informations hautement sensibles sur différents services du gouvernement fédéral américain ? Quels risques cette situation représente-t-elle pour la cybersécurité gouvernementale ?
Bien que seulement âgé de 19 ans, Edward Coristine est loin d’être un inconnu dans le monde de la cybersécurité et du piratage. Il aurait fondé en 2021 une entreprise appelée « Tesla.Sexy LLC » alors qu'il avait environ 16 ans. Edward Coristine est présenté comme le fondateur et le PDG de l'entreprise.
Tesla.Sexy LLC contrôle des dizaines de domaines Web, dont au moins deux sont enregistrés en Russie. L'un de ces domaines propose un service appelé Helfie, qui est un robot d'IA pour les serveurs Discord ciblant le marché russe. Cette activité n'est pas illégale, mais elle soulève des inquiétudes quant à ses connexions internationales, notamment dans un contexte où la cybersécurité est devenue une préoccupation majeure des gouvernements occidentaux.
De plus, cela pourrait constituer un facteur bloquant lors de l'examen d'une habilitation de sécurité. Un ancien analyste du renseignement américain a déclaré : « il y a peu de chances que ses antécédents aient été vérifiés avant qu'il obtienne un accès privilégié aux systèmes gouvernementaux ».
Edward Coristine licencié pour avoir prétendument divulgué des données
Étant donné la rapidité avec laquelle l'équipe DOGE d'Elon Musk a été autorisée à accéder à des bases de données gouvernementales aussi importantes, Edward Coristine n'a probablement pas passé les tests de vérification des antécédents dans les règles de l'art. Les experts en veulent pour preuve son licenciement rapide. Edward Coristine a été licencié pour avoir prétendument divulgué des informations internes à l'organisation à des personnes extérieures.
« Les connexions étrangères, qu'il s'agisse de contacts avec des amis étrangers ou de noms de domaine enregistrés dans des pays étrangers, seraient signalées par n'importe quelle agence au cours du processus d'enquête de sécurité », explique Joseph Shelzi, un ancien officier de renseignement de l'armée américaine qui a détenu une habilitation de sécurité pendant dix ans et géré l'habilitation de sécurité d'autres unités placées sous son commandement.
Un autre domaine contrôlé par Edward Coristine est "faster.pw". Le site est actuellement inactif, mais une version archivée datant du 25 octobre 2022 montre un contenu en chinois qui indique que le service a fourni « de multiples réseaux transfrontaliers chiffrés ». Selon les experts, il n'aurait pas dû être embauché.
merci à Developpez.com
