Aras Nazarovas, chercheur en sécurité de l’information chez Cybernews, une publication en ligne axée sur la recherche, partage ses réflexions sur DOGE et son accès aux systèmes de paiement du Trésor.

En bref, il dit que la décision du Trésor américain de limiter temporairement l’accès de DOGE au système de paiement n’élimine pas les risques fondamentaux de cybersécurité que l’implication de DOGE a déjà exposés.

Qui regarde DOGE ? Les risques de cybersécurité liés à l’accès de Musk aux systèmes de paiement du Trésor

Par Aras Nazarov.

Le Department of Government Efficiency (DOGE) d’Elon Musk a d’abord affirmé n’avoir qu’un accès en lecture seule aux systèmes de paiement du Trésor américain, un niveau d’accès qui soulevait encore des problèmes de cybersécurité. Cependant, des rapports d’enquête de Wired ont révélé qu’un membre de l’équipe DOGE âgé de 25 ans, Marko Elez, a obtenu un accès en écriture, permettant des modifications, des suppressions ou la création de fichiers et de données. En termes de cybersécurité, c’est la clé du royaume. Dans un contexte de préoccupations croissantes en matière de protection de la vie privée et d’un procès fédéral, le Trésor américain a maintenant accepté de bloquer temporairement l’accès de DOGE à ses systèmes de paiement. Cependant, cette décision n’élimine pas les risques fondamentaux de cybersécurité que l’implication de DOGE a déjà créés. Même si l’accès avait été limité en lecture seule, il aurait tout de même présenté des risques majeurs. L’accès en lecture seule ouvre toujours la porte aux fuites, aux menaces internes et aux attaques de phishing. En l’absence de protocoles de sécurité stricts, le gouvernement américain espère simplement que tout se passe bien – et l’espoir n’est pas une stratégie de sécurité.

Toute exposition de données sensibles, même à titre passif, présente des risques tels que :

Exfiltration de données et menaces internes.

L’accès en lecture seule permet toujours aux utilisateurs de consulter, d’analyser et d’extraire des données financières sensibles. Compte tenu du manque de transparence entourant le rôle du DOGE et de l’implication de personnes ayant une surveillance plus souple, il est possible que les données soient utilisées à des fins politiques ou financières.

Risques de sécurité et de conformité.

Contrairement aux audits par des tiers, qui fonctionnent dans des cadres stricts avec une surveillance indépendante, l’accès du DOGE semble contourner les protocoles de cybersécurité standard. Les audits indépendants impliquent généralement un accès contrôlé et limité dans le temps dans des conditions surveillées – cette situation est très différente. En outre, Wired rapporte que DOGE a confié certains rôles clés à de jeunes ingénieurs inexpérimentés – certains encore à l’université – ayant des liens avec les entreprises de Musk mais peu d’expertise gouvernementale et probablement sans les habilitations de sécurité requises. Cela pourrait ouvrir la porte à des erreurs de configuration, des menaces internes et des violations de données potentielles encore plus larges. En l’absence de l’expertise ou des mesures de protection appropriées, il est beaucoup trop facile pour les acteurs malveillants d’exploiter ces lacunes. Cela met définitivement en danger des systèmes gouvernementaux critiques.

Risque d’escalade de l’accès aux données.

Ce qui commence comme un accès en lecture seule pourrait évoluer vers un contrôle accru des systèmes gouvernementaux. Si le DOGE identifie des inefficacités ou des fraudes, la pression politique pourrait conduire à un accès élargi aux données, qui pourraient être vulnérables à l’exploitation ou à la manipulation.

L’érosion de la confiance dans les systèmes gouvernementaux pourrait entraîner une augmentation des cybermenaces.

La mauvaise manipulation ou l’exposition de données sensibles met en péril l’intégrité des systèmes gouvernementaux. Si des violations de données se produisent – ou si les gens pensent que le gouvernement ne protège pas correctement leurs informations personnelles – cela ruine la confiance du public. Ce manque de confiance peut rendre les citoyens hésitants à utiliser les services gouvernementaux ou à partager des données personnelles, ce qui peut affaiblir le cadre de sécurité. Cela pourrait ouvrir la porte à davantage de cybermenaces et d’exploitation.

Utilisation abusive des données gouvernementales à des fins d’avantage concurrentiel.

Compte tenu des vastes intérêts commerciaux de Musk dans l’IA, le cloud computing et la fintech, l’accès à des données gouvernementales hautement sensibles pourrait donner à ses entreprises un avantage concurrentiel injuste. Même si l’accès n’est pas directement utilisé à des fins commerciales, le risque d’une telle utilisation abusive des données demeure. Mais l’accès en écriture ? C’est un tout autre niveau de vulnérabilité. Il permettrait à toute personne exploitant ces identifiants de modifier des enregistrements, de changer des instructions de paiement ou même de dissimuler des activités illicites. Il est sans aucun doute important de lutter contre la fraude et de corriger les inefficacités. Mais la cybersécurité est bien plus qu’une pratique visant à empêcher les pirates d’entrer. Il est crucial de s’assurer que les personnes qui y ont accès sont correctement contrôlées, surveillées et tenues responsables. Si DOGE doit traiter des données sensibles, une transparence totale et une surveillance indépendante doivent être introduites, sans exception. Cependant, à l’heure actuelle, même l’étendue complète de l’implication réelle et prévue du DOGE n’est pas claire.

Aras Nazarovas est chercheur en sécurité de l’information chez Cybernews, une publication en ligne axée sur la recherche. Aras est spécialisé dans la cybersécurité et l’analyse des menaces. Il enquête sur les services en ligne, les campagnes malveillantes et la sécurité matérielle tout en compilant des données sur les menaces de cybersécurité les plus courantes. Aras et l’équipe de recherche de Cybernews ont découvert d’importants problèmes de confidentialité et de sécurité en ligne ayant un impact sur des organisations et des plateformes telles que la NASA, Google Play et PayPal. L’équipe de recherche de Cybernews mène plus de 7 000 enquêtes et publie plus de 600 études par an, aidant les consommateurs et les entreprises à mieux comprendre et à atténuer les risques de sécurité des données.

Recherches précédentes de Cybernews :

1. Récemment, Bob Dyachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com, et l’équipe de recherche sur la sécurité de Cybernews ont découvert un index Elasticsearch non protégé, qui contenait un large éventail de détails personnels sensibles liés à l’ensemble de la population de Géorgie.
2. L’équipe a analysé le trafic Web du nouveau smartphone Pixel 9 Pro XL et a constaté que le dernier smartphone phare de Google transmet fréquemment des données privées d’utilisateurs au géant de la technologie avant l’installation d’une application.
3. L’équipe a révélé qu’une fuite massive de données chez MC2 Data, une société de vérification des antécédents, affecte un tiers de la population américaine.
4. L’équipe de recherche en sécurité de Cybernews a découvert que les 50 applications Android les plus populaires nécessitent en moyenne 11 autorisations dangereuses.
5. Ils ont révélé que deux créateurs de PDF en ligne ont divulgué des dizaines de milliers de documents d’utilisateurs, notamment des passeports, des permis de conduire, des certificats et d’autres informations personnelles téléchargées par les utilisateurs.
6. Une analyse de Cybernews Research a découvert plus d’un million de secrets publiquement exposés à partir de plus de 58 000 fichiers d’environnement exposé (.env) de sites Web.
7. L’équipe a révélé que l’instance dirigeante du football australien, Football Australia, a divulgué des clés secrètes qui pourraient ouvrir l’accès à 127 ensembles de données, y compris les données personnelles des acheteurs de billets et les contrats et documents des joueurs.
8. L’équipe de recherche de Cybernews, en collaboration avec le chercheur en cybersécurité Bob Dyachenko, a découvert une fuite de données massive contenant des informations provenant de nombreuses violations passées, comprenant 12 téraoctets de données et couvrant plus de 26 milliards d’enregistrements.
9. L’équipe a analysé le site Web de la NASA et a découvert une vulnérabilité de redirection ouverte qui sévit sur le site Web d’astrobiologie de la NASA.

L’équipe a enquêté sur 30 000 applications Android et a découvert que plus de la moitié d’entre elles divulguent des secrets qui pourraient avoir d’énormes répercussions sur les développeurs d’applications et leurs clients.