L’accès sans frein qu’Elon Musk et son personnel du Département de l’Efficacité Gouvernementale (DOGE) auraient aux réseaux fédéraux soulève de graves inquiétudes en matière de cybersécurité, ont rapporté plusieurs experts à Recorded Future News ce lundi.
Permettre à des employés de brancher des ordinateurs sans contrôles de sécurité connus sur le réseau du Bureau de Gestion du Personnel (OPM) pourrait offrir à un adversaire étranger une nouvelle voie pour infiltrer les systèmes et obtenir des données sensibles, telles que des informations provenant de vérifications de fond des employés fédéraux et des dossiers de sécurité.
L’accès des employés de DOGE au système de paiements du Département du Trésor constitue également une menace pour la sécurité nationale, car il contient des détails sur les paiements des contrats de renseignement ou des données très personnelles sur des fonctionnaires de la sécurité nationale.
« Cela pourrait potentiellement être la plus grande violation [des systèmes gouvernementaux] jamais enregistrée, avec des conséquences qui pourraient s’étendre sur des décennies », a déclaré Jason Kikta, ancien responsable de la Cyber Command des États-Unis, lors d’une interview avec Recorded Future News.
Selon des rapports, les employés de DOGE auraient également accédé aux systèmes de l’Agence des États-Unis pour le développement international (USAID) pendant le week-end, et une autre équipe aurait accès à des systèmes sensibles au Département de l’Éducation, comme l’a rapporté le Washington Post ce lundi après-midi.
Les figures notables de DOGE, une agence ad hoc de la Maison Blanche dirigée par Musk avec l’accord du Président Donald Trump, incluent au moins six jeunes hommes ayant peu ou pas d’expérience gouvernementale, selon Wired.
Il n’est pas clair quels employés de DOGE ont travaillé au sein des systèmes du Trésor et de l’OPM, et à quel niveau d’accès. Toutefois, il semble que les opérations se déroulent de manière « non autorisée, sur des systèmes non autorisés, avec du personnel non autorisé et un étalement inconnu », a affirmé Kikta. « Le temps dira à quel point cela pourrait être grave. »
D’autres experts en cybersécurité ont souligné que le gouvernement fédéral a mis en place des contrôles de cybersécurité soigneusement élaborés que DOGE pourrait ignorer.
« Le gouvernement a passé des années à établir des contrôles et une gouvernance adéquats pour l’accès aux réseaux gouvernementaux fédéraux », a déclaré Mark Montgomery, ancien directeur exécutif à la Cyberspace Solarium Commission, maintenant leader à la Foundation for Defense of Democracies. « Ce comportement est inacceptable, peu importe l’importance des tâches. »
Les experts ont également averti qu’il ne faut pas supposer que Musk puisse garantir que DOGE est aussi sécurisé que ses entreprises.
« Travailler pour Elon Musk ne vous confère pas une sorte de protection spéciale contre la cybersécurité, donc les règles doivent être respectées », a précisé Montgomery.
La surface d’attaque potentielle est massive, que les intrus soient des acteurs étatiques ou des syndicats criminels, a déclaré Kikta, qui a été directeur adjoint pour les opérations de cybersécurité défensive à la Cyber National Mission Force et plus tard responsable des partenariats avec le secteur privé à la Cyber Command des États-Unis. Le système du Trésor traite des trillions de dollars de paiements au nom des agences fédérales chaque année.
Les employés de DOGE pourraient ainsi « créer des failles de sécurité qu’ils ne comprennent pas entièrement et qui pourraient être exploitées », a-t-il ajouté, en soulignant qu’ils pourraient « casser » le système de paiements et compromettre certaines des opérations de renseignement les plus critiques au monde en coupant par erreur des fonds.
La Maison Blanche n’a pas répondu à une demande de commentaire. Le New York Times a rapporté lundi soir que les aides de Musk avaient également demandé un accès aux systèmes des Centers for Medicare and Medicaid Services, qui contrôlent les contrats et les paiements.
De nombreuses inconnues
Dans certains cas, des règles régissent les configurations matérielles. Il se peut que des fournisseurs aient l’obligation de retirer, avant livraison, les puces de communication sans fil comme le Bluetooth et le Wi-Fi dans les systèmes pouvant accéder à des données sensibles, a expliqué Kikta. Personne ne sait si « même ces précautions fondamentales ont été prises », a-t-il ajouté.
« Est-ce que [leurs ordinateurs] proviennent d’un magasin comme Best Buy ? » s’est interrogé Kikta sur les employés de DOGE. « Ont-ils le Wi-Fi ? Sortent-ils du bâtiment et utilisent le Wi-Fi de Starbucks ? »
L’OPM a été piraté par la Chine en 2015, démontrant l’intérêt que les adversaires portent aux informations de cette agence, a rappelé Kikta. Et il ne serait pas difficile, a-t-il ajouté, pour la Chine de s’infiltrer dans un ordinateur mal préparé.
D’autres menaces en matière de cybersécurité pourraient émerger si des travailleurs de DOGE copient des données sur des ordinateurs non configurés pour les stocker correctement, a averti Marc Rogers, expert en cybersécurité et hacker éthique. Cela signifierait qu’ils auraient « contourné des contrôles de cybersécurité développés sur des décennies en réponse à des incidents de sécurité passés », a-t-il ajouté.
L’Institut National des Standards et de la Technologie a établi des contrôles de cybersécurité approfondis, connus sous le nom de série NIST 800, destinés à protéger les réseaux fédéraux et les données sensibles, a-t-il précisé. Ces contrôles sont également utilisés dans toute l’industrie, a souligné Rogers.
« Des ordinateurs non contrôlés par l’État ayant accès à ces données, potentiellement en les stockant, créent une surface d’attaque inconnue et non surveillée qui sera presque certainement beaucoup plus faible que l’attaque directe de l’infrastructure du gouvernement fédéral, et c’est un problème majeur », a déclaré Rogers.
Tout dispositif branché au réseau fédéral doit être sous le contrôle du département responsable de l’émission de l’équipement, a-t-il précisé. Les systèmes doivent respecter les politiques de sécurité officielles, posséder les logiciels appropriés, des protections antivirus et un niveau de mise à jour des correctifs adéquat. Ils ne devraient pas également contenir de logiciels non nécessaires.
« Sinon, cela peut entraîner un accès et un compromis de tous les autres systèmes sur ce réseau », a-t-il averti.
Le fait que l’OPM conserve des informations sur les vérifications de fond rend la situation encore plus inquiétante, a ajouté Rogers, car les futurs employés du gouvernement divulguent des informations sensibles susceptibles d’être utilisées pour faire du chantage.
« Rechercher ce type d’informations est précisément l’objectif d’une vérification de fond », a-t-il observé.
Les adversaires étrangers surveillent de près, a déclaré Jim Lewis, directeur du programme des technologies stratégiques au Centre pour des Études Stratégiques et Internationales. La Chine et d’autres pays cherchent constamment à « mettre à jour leur bibliothèque de données ».
Environ 22,1 millions de dossiers ont été touchés lors de la violation de l’OPM en 2015, y compris des dossiers liés aux vérifications de fond.
« Les Chinois sont particulièrement habiles, donc ils essaient probablement de déterminer comment exploiter cela », a conclu Lewis. « On peut imaginer un scénario dans lequel l’un de ces employés de DOGE utilise un dispositif personnel qui pourrait ne pas être sécurisé et les Chinois cherchent à voir s’ils peuvent accéder à ce dispositif personnel comme point d’entrée dans les réseaux fédéraux. C’est un type d’incident plutôt classique. »
En résumé, a-t-il ajouté, « des étrangers aléatoires ne devraient pas pouvoir entrer et exiger un accès. »
Bon à savoir
- Le Département de l’Efficacité Gouvernementale (DOGE) a été mis en place récemment et se compose principalement de jeunes sans expérience gouvernementale.
- Les violations de la cybersécurité peuvent avoir des implications non seulement immédiates mais aussi à long terme pour la sécurité nationale.
- Les contrôles de cybersécurité établis par le gouvernement sont le résultat d’années d’efforts pour prévenir les menaces extérieures et protéger les données sensibles.
De ce fait, la situation actuelle nous amène à réfléchir sur les impacts potentiels de tels accès non réglementés aux systèmes gouvernementaux. Quel rôle chaque partie prenante devrait-elle jouer pour renforcer la prévoyance en matière de cybersécurité dans un environnement de plus en plus complexe ?
Nos rédacteurs utilisent l'IA pour les aider à proposer des articles frais de sources fiables à nos utilisateurs. Si vous trouvez une image ou un contenu inapproprié, veuillez nous contacter via le formulaire DMCA et nous le retirerons rapidement. / Our editors use AI to help them offer our readers fresh articles from reliable sources. If you find an image or content inappropriate, please contact us via the DMCA form and we'll remove it promptly.