Le département de l'efficacité gouvernementale (DOGE) dirigé par Elon Musk subit un nouveau revers. Des experts en cybersécurité se sont amusés à défigurer le site Web de l'agence pour mettre en évidence une faille de sécurité grave due à des « erreurs de configuration élémentaires ». Il s'avère que n'importe qui peut accéder à la base de données du site et la modifier, alors qu'elle contient des données sensibles sur des millions d'Américains. Les experts ajoutent que « le site du DOGE semble avoir été complètement bricolé » et qu'il ne semble pas fonctionner sur des serveurs gouvernementaux. Cela remet en cause la fiabilité de l'équipe du DOGE.Le site Web du DOGE d'Elon Musk présente une faille de sécurité grave
Elon Musk est un magnat milliardaire de la technologie à la tête de plusieurs entreprises importantes telles que Tesla, SpaceX, xAI... Il est notamment l'homme le plus riche du monde avec une fortune estimée à plus de 400 milliards de dollars. Plus récemment, il a été coopté à la tête du département de l'efficacité gouvernementale (DOGE) créé par le président américain Donald Trump pour réduire les dépenses du gouvernement fédéral et le rendre plus efficace.
À ce titre, Elon Musk et son équipe ont un accès sans précédent à des systèmes financiers américains sensibles contenant des données sur des millions d'Américains. Il se peut toutefois que ces informations hautement sensibles ne soient pas aussi bien protégées que les Américains l'auraient souhaité.
Deux experts en développement Web et en cybersécurité viennent de découvrir que le site "doge.gov", qui est destiné à documenter les actions de l’équipe d’Elon Musk dans la restructuration du gouvernement fédéral des États-Unis, est touché par une faille de sécurité majeure pour le moins surprenante.
Ils ont signalé la faille à 404Media après avoir découvert que "doge.gov" puisait dans une base de données à laquelle des tiers peuvent accéder et qu'ils peuvent mettre à jour. Cela signifie que n'importe quelle personne accédant à la base de données peut introduire des entrées non autorisées sur le site Web.
Au moins deux entrées de base de données ont été ajoutées par l'un des codeurs pour dire « Ceci est une blague d'un site ".gov" » et « CES "EXPERTS" ONT LAISSE LEUR BASE DE DONNEES OUVERTE -roro ». Les deux pages étaient toujours visibles quelques heures après la publication du rapport de 404Media. Les experts affirment en effet que le site Web du DOGE d'Elon Musk ne répond pas aux normes de sécurité des plateformes du gouvernement fédéral.
Les deux experts qui ont découvert la faille ont requis l'anonymat, car ils sondaient un site Web fédéral. Sonder un site Web fédéral sans autorisation explicite peut être considéré comme une activité illégale, surtout si elle implique des actions non sollicitées comme l'ajout d'une entrée à la base de données.
Les experts suggèrent que le déploiement du site du DOGE a été bâclé
Le site du DOGE a été lancé en janvier, mais à part trois lignes de texte et un logo de type cartoon qui a depuis été supprimé, il est resté pratiquement vide pendant des semaines. Lors d'une conférence de presse le mardi 11 février, Elon Musk a déclaré aux journalistes que le département dont il a la charge essayait d'être aussi transparent que possible. « En fait, nous publions nos actions sur la poignée DOGE sur X, et sur le site Web DOGE », a-t-il déclaré.
À la suite des déclarations d'Elon Musk, le site Web a été mis à jour entre le mercredi 12 et le jeudi 13 février 2025 et affiche maintenant un miroir des messages publié sur X (ex-Twitter) par le compte @DOGE, ainsi que diverses statistiques sur la main-d'œuvre fédérale du gouvernement des États-Unis.
Mais les experts ont signalé que "doge.gov" semble apparemment construit sur Cloudflare Pages et n'est pas actuellement hébergé sur les serveurs du gouvernement. Cloudflare Pages est une plateforme en ligne qui facilite le déploiement de sites Web statiques et la collaboration au sein d'une équipe. La base de données dans laquelle "doge.gov" peut être (et a été) modifiée par des tiers, et les modifications apportées apparaîtront sur le site Web en direct.
L'une des sources à l'origine de cette découverte a déclaré qu'elle avait pu envoyer des mises à jour à une base de données d'informations sur l'emploi dans le secteur public après avoir étudié l'architecture du site Web et trouvé les points de terminaison de l'API de la base de données. Comme mentionné ci-dessus, cette personne a pu insérer deux entrées dans la base de données non sécurisée et les a ensuite transférées sur le site Web du DOGE.
« On a l'impression que tout a été fait à la va-vite. Des tonnes d'erreurs et de détails ont fuité dans le code source de la page », ont déclaré les experts. Ils ont insisté sur le fait que la façon dont le site Web "doge.gov" est configuré suggère qu'il ne fonctionne pas sur des serveurs gouvernementaux.
Envoyé par L'un des développeurs à l'origine de la découverte
En fait, "doge.gov" possède sa base de code, probablement via GitHub ou quelque chose comme ça. Ils déploient le site Web sur Cloudflare Pages à partir de leur base de code, et "doge.gov" est un domaine personnalisé sur lequel leur URL "pages.dev" est définie. Par conséquent, plutôt que d'avoir un serveur physique ou même quelque chose comme Amazon Web Services, ils utilisent Cloudflare Pages qui prend en charge les domaines personnalisés.
Un employé du DOGE licencié serait lié à un groupe de cybercriminels
Ce n'est pas la première que le DOGE d'Elon Musk se retrouve sous le feu des critiques. Au début de ce mois, le DOGE a été vivement critiqué après la révélation du passé cybercriminel d’un de ses jeunes membres. Edward Coristine, 19 ans, a des antécédents professionnels et en ligne qui suscitent des interrogations quant à son accès à des systèmes gouvernementaux sensibles, selon des experts en sécurité. Ce dernier aurait été impliqué dans « The Com ».
Il s'agit d'une communauté notoire de pirates informatiques opérant sur des plateformes telles que Discord et Telegram. Cette révélation a soulevé de nombreuses questions sur la sécurité des données auxquelles les employés du DOGE ont accès. Comment les candidats ont-ils été évalués avant leur embauche ?
Elon Musk a été accusé d'être laxiste. Comment un individu avec un tel historique a-t-il pu obtenir un poste lui donnant accès à des informations hautement sensibles sur différents services du gouvernement fédéral américain ? Quels risques cette situation représente-t-elle pour la cybersécurité gouvernementale ?
Bien que seulement âgé de 19 ans, Edward Coristine est loin d’être un inconnu dans le monde de la cybersécurité et du piratage. Il aurait fondé en 2021 une entreprise appelée « Tesla.Sexy LLC » alors qu'il avait environ 16 ans. Edward Coristine est présenté comme le fondateur et le PDG de l'entreprise.
Tesla.Sexy LLC contrôle des dizaines de domaines Web, dont au moins deux sont enregistrés en Russie. L'un de ces domaines propose un service appelé Helfie, qui est un robot d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
