Des employés d’une organisation gouvernementale américaine, DOGE, anciennement dirigée par Elon Musk, ont placé en juin une base de données extrêmement sensible, contenant des informations de sécurité sociale concernant pratiquement tous les citoyens des États-Unis, sur un serveur cloud non sécurisé. Cela est avancé par un lanceur d’alerte, responsable du traitement des données à l’Administration de la sécurité sociale (SSA), dans une plainte diffusée par le New York Times. Bien qu’aucune preuve d’accès non autorisé n’ait été trouvée, une telle violation pourrait avoir des conséquences catastrophiques, forçant possiblement le gouvernement américain à réattribuer tous les numéros de sécurité sociale. Ces données seraient également parfaitement adaptées pour des vols d’identité à grande échelle.
Des centaines de millions de dossiers
Comme l’explique le Chief Data Officer (CDO) de la SSA dans la plainte adressée au Congrès américain, il s’agit d’une base de données appelée NUMIDENT, qui compile toutes les informations relatives aux demandes de numéro de sécurité sociale américain. Celle-ci contient non seulement le numéro lui-même, mais aussi le nom, le lieu et la date de naissance, la nationalité, l’ethnie, les noms des parents, ainsi que des informations personnelles comme le numéro de téléphone et l’adresse. Étant donné qu’elle concerne toute personne ayant déjà reçu un numéro de sécurité sociale, il est probable qu’elle contienne près de 550 millions de dossiers.
Selon la plainte, la demande de transfert de cette base de données vers un environnement cloud a été formulée par un employé de DOGE début juin. À la demande du président américain Donald Trump, le Département de l’Efficacité gouvernementale a été chargé d’examiner et de réduire les dépenses publiques et a d’abord été dirigé par Elon Musk. La demande a ensuite été modifiée à plusieurs reprises, une décision finale déclarant le projet à “haut risque” a été émise. Après une série d’allers-retours, le projet a finalement été approuvé, probablement sans examen final.
Il n’est pas tout à fait clair pourquoi une version active de la base de données était nécessaire sur le serveur cloud. Selon la plainte, les responsables ont justifié cela par le besoin d’améliorer l’échange de données entre les autorités. Une fois que la copie a été mise en place, il n’y avait plus de contrôle indépendant et les procédures de sécurité habituelles ont été contournées. De plus, les développeurs concernés ont pu accéder à la base de données sans les processus d’approbation requis. D’après la plainte, le directeur informatique de DOGE aurait déclaré en libérant la copie : “J’ai décidé que le besoin commercial est supérieur au risque de sécurité associé à cette installation, et j’accepte tous les risques liés à son fonctionnement.”
Points à retenir
- La base de données NUMIDENT contient des informations sur presque tous les citoyens ayant un numéro de sécurité sociale.
- Le transfert de données vers le cloud a été approuvé malgré des avertissements sur les risques.
- Des mesures de sécurité standards ont été ignorées lors de la mise en place de cette base de données sur le serveur cloud.
En somme, cette situation soulève des questions critiques sur la gestion de données sensibles. La tension entre innovation technologique et protection des données personnelles met en avant la nécessité d’un cadre réglementaire robuste. À quel point chaque entité gouvernementale doit-elle être tenue responsable de la sécurité des informations sensibles, et quelles leçons peuvent être tirées pour éviter de telles situations à l’avenir ?
Cet article souligne un vrai dilemme artistique : comment jongler entre l’innovation et la sécurité. Les données sensibles méritent une toile de protection solide et réfléchie.
C’est effrayant de voir à quel point nos données peuvent être mal gérées. On doit vraiment penser à la sécurité avant l’innovation, surtout avec des infos aussi sensibles.
Wow, c’est vraiment inquiétant ! Une telle négligence dans la protection des données peut avoir des conséquences désastreuses. On doit prendre ça très au sérieux !
C’est effrayant de voir des données aussi sensibles mises en danger. La confiance des citoyens est en jeu, et il est crucial d’améliorer la sécurité des informations personnelles.
Ce genre de situation souligne l’importance de la sécurité des données. La technologie moderne doit s’accompagner de mesures de protection robustes pour éviter des violations catastrophiques.
C’est vraiment alarmant ! La gestion des données sensibles doit être améliorée. La sécurité des citoyens devrait toujours être la priorité dans ces décisions.
C’est inquiétant de voir à quel point nos données personnelles peuvent être exposées. La sécurité doit être la priorité dans une ère numérique où chaque renseignement compte.
C’est vraiment inquiétant de voir des données aussi sensibles exposées. La sécurité des informations personnelles est cruciale, et il faut être vigilant pour protéger nos enfants et nos familles.