Alors qu’Elon Musk et les employés de la DOGE, son nouveau département d’efficacité gouvernementale, commencent à intégrer les agences fédérales, certains experts expriment des inquiétudes quant à la sécurité des données gouvernementales. Le recrutement accéléré de nouveaux employés exposerait dangereusement les données sensibles aux risques de piratage, surtout avec l’essor des ordinateurs quantiques.
Musk a été mandaté par Donald Trump pour être à la tête d’un nouveau groupe de travail appelé Department of Government Efficiency (DOGE). L’objectif de ce département consiste principalement à moderniser les réseaux informatiques de l’État et à réduire les dépenses fédérales. Pour ce faire, les ingénieurs de la DOGE doivent intégrer les systèmes informatiques fédéraux.
Les nouvelles recrues de la DOGE auraient ainsi accès à l’ensemble du réseau gouvernemental américain, y compris au Département du Trésor, qui verse 90 % de l’ensemble des paiements fédéraux. Cela inclut par exemple des milliards de dollars de prestations de sécurité sociale, de salaires fédéraux, de pensions aux anciens combattants et de remboursements d’impôts.
Les employés du département de Musk auront également accès à des données de sécurité nationale, telles que le financement alloué à l’Ukraine et à l’OTAN, les stratégies de défense nucléaire, ainsi que d’autres informations qui pourraient être utilisées par des espions étrangers.
L’accès de ces nouveaux employés à ces données soulève des inquiétudes en matière de cybersécurité, sans compter que leur recrutement a non seulement été accéléré, mais inclut également des personnes avec des antécédents douteux. Tom Krause, un entrepreneur technologique qui aurait été impliqué antérieurement dans la vulnérabilité au piratage du réseau informatique de Citrix, est par exemple affilié à la branche de la DOGE gérant le département du Trésor. Les failles dans la cybersécurité de Citrix ont été révélées suite à une campagne de réduction des coûts et de licenciements massifs.
D’autre part, le gouvernement a fourni très peu d’informations sur les données exactes auxquelles la DOGE peut accéder et concernant le respect des normes de sécurité fédérales. « C’est généralement assez inquiétant, la manière désinvolte avec laquelle ces gens ont eu accès à tous ces systèmes sans les contrôles normaux que l’on s’attendrait à voir en place », explique Benjamin Friedman, directeur politique du groupe de réflexion conservateur Defense Priorities, au Christian Science Monitor.
Des recrutements accélérés exposant dangereusement les données sensibles
D’anciens responsables du gouvernement et des experts en cybersécurité estiment que la structure et le recrutement accéléré de DOGE pourraient exacerber les risques de piratage des données gouvernementaux. En général, les agences fédérales suivent un protocole de sécurité « zéro confiance », limitant l’accès des employés aux systèmes internes. En outre, les nouveaux employés subissent généralement une vérification des antécédents remontant à 15 ans, afin d’obtenir l’habilitation nécessaire pour accéder aux données sensibles.
Les embauches rapides de la DOGE pourraient créer des incertitudes quant à savoir quelles personnes peuvent accéder à ces données. L’intégration rapide des nouveaux employés leur laisse également peu de temps pour se familiariser avec la classification ou les niveaux de sensibilité des données auxquelles ils accèdent. « Ce sont peut-être des programmeurs formidables, [mais ils semblent] outrepasser les meilleures pratiques, les lois et les normes fédérales, ce qui constitue un énorme problème », estime Richard Forno, directeur adjoint du Cybersecurity Institute de l’Université du Maryland.
Certains observateurs craignent même que la DOGE puisse collecter des données à des fins politiques ou personnelles. En effet, contrairement aux réseaux classifiés, le gouvernement fédéral ne dispose pas de système de surveillance des menaces internes pour les réseaux non classifiés. Or, de nombreuses personnes ayant accès aux systèmes non classifiés ont également accès à ceux classifiés.
Autrement dit, « une grande partie des comportements que vous pourriez observer en matière de personnes qui vont intentionnellement causer du tort, vous les verrez d’abord du côté non classifié », a déclaré Marshall Heilman, PDG de la société de gestion des risques internes Dtex Systems, à Axios.
Par ailleurs, la DOGE aurait installé ses propres serveurs de messagerie, dans le but, selon les responsables, de faciliter la communication directe en dehors des canaux officiels. Forno estime que cela équivaudrait à un système de messagerie fantôme. Les employés semblent également avoir apporté leurs propres ordinateurs portables pour les connecter directement aux réseaux gouvernementaux, ce qui ne devrait normalement pas être autorisé.
En réponse à ces préoccupations, la Maison-Blanche a affirmé que les ingénieurs de la DOGE ont accès aux fichiers fédéraux « en lecture seule ». Cela signifie qu’ils n’ont pas le droit de les modifier ni de les supprimer. Toutefois, il reste à craindre que ces employés soient autorisés à créer des programmes pour contourner le système en place.
Dans l’ensemble, le protocole de sécurité peu fiable mis en place par la DOGE pourrait considérablement fragiliser les systèmes existants. Les nouveaux employés pourraient, par inadvertance, introduire des failles de sécurité pouvant être exploitées par des pirates informatiques. Les experts estiment que ce n’est qu’une question de temps avant qu’une fuite massive de données ne se produise et qu’une violation est, à ce stade, quasi inévitable.