Le site Web du DOGE d'Elon Musk présente une faille de sécurité grave

Les experts suggèrent que le déploiement du site du DOGE a été bâclé

Envoyé par L'un des développeurs à l'origine de la découverte Envoyé par

En fait, "doge.gov" possède sa base de code, probablement via GitHub ou quelque chose comme ça. Ils déploient le site Web sur Cloudflare Pages à partir de leur base de code, et "doge.gov" est un domaine personnalisé sur lequel leur URL "pages.dev" est définie. Par conséquent, plutôt que d'avoir un serveur physique ou même quelque chose comme Amazon Web Services, ils utilisent Cloudflare Pages qui prend en charge les domaines personnalisés.



Un employé du DOGE licencié serait lié à un groupe de cybercriminels

Edward Coristine licencié pour avoir prétendument divulgué des données

Elon Musk est un magnat milliardaire de la technologie à la tête de plusieurs entreprises importantes telles que Tesla, SpaceX, xAI... Il est notamment l'homme le plus riche du monde avec une fortune estimée à plus de 400 milliards de dollars. Plus récemment, il a été coopté à la tête du département de l'efficacité gouvernementale (DOGE) créé par le président américain Donald Trump pour réduire les dépenses du gouvernement fédéral et le rendre plus efficace.À ce titre, Elon Musk et son équipe ont un accès sans précédent à des systèmes financiers américains sensibles contenant des données sur des millions d'Américains. Il se peut toutefois que ces informations hautement sensibles ne soient pas aussi bien protégées que les Américains l'auraient souhaité.Deux experts en développement Web et en cybersécurité viennent de découvrir que le site "doge.gov", qui est destiné à documenter les actions de l’équipe d’Elon Musk dans la restructuration du gouvernement fédéral des États-Unis, est touché par une faille de sécurité majeure pour le moins surprenante.Ils ont signalé la faille à 404Media après avoir découvert que "doge.gov" puisait dans une base de données à laquelle des tiers peuvent accéder et qu'ils peuvent mettre à jour. Cela signifie que n'importe quelle personne accédant à la base de données peut introduire des entrées non autorisées sur le site Web.Au moins deux entrées de base de données ont été ajoutées par l'un des codeurs pour dire « Ceci est une blague d'un site ".gov" » et « CES "EXPERTS" ONT LAISSE LEUR BASE DE DONNEES OUVERTE -roro ». Les deux pages étaient toujours visibles quelques heures après la publication du rapport de 404Media. Les experts affirment en effet que le site Web du DOGE d'Elon Musk ne répond pas aux normes de sécurité des plateformes du gouvernement fédéral.Les deux experts qui ont découvert la faille ont requis l'anonymat, car ils sondaient un site Web fédéral. Sonder un site Web fédéral sans autorisation explicite peut être considéré comme une activité illégale, surtout si elle implique des actions non sollicitées comme l'ajout d'une entrée à la base de données.Le site du DOGE a été lancé en janvier, mais à part trois lignes de texte et un logo de type cartoon qui a depuis été supprimé, il est resté pratiquement vide pendant des semaines. Lors d'une conférence de presse le mardi 11 février, Elon Musk a déclaré aux journalistes que le département dont il a la charge essayait d'être aussi transparent que possible. « En fait, nous publions nos actions sur la poignée DOGE sur X, et sur le site Web DOGE », a-t-il déclaré.À la suite des déclarations d'Elon Musk, le site Web a été mis à jour entre le mercredi 12 et le jeudi 13 février 2025 et affiche maintenant un miroir des messages publié sur X (ex-Twitter) par le compte @DOGE, ainsi que diverses statistiques sur la main-d'œuvre fédérale du gouvernement des États-Unis.Mais les experts ont signalé que "doge.gov" semble apparemment construit sur Cloudflare Pages et n'est pas actuellement hébergé sur les serveurs du gouvernement. Cloudflare Pages est une plateforme en ligne qui facilite le déploiement de sites Web statiques et la collaboration au sein d'une équipe. La base de données dans laquelle "doge.gov" peut être (et a été) modifiée par des tiers, et les modifications apportées apparaîtront sur le site Web en direct.L'une des sources à l'origine de cette découverte a déclaré qu'elle avait pu envoyer des mises à jour à une base de données d'informations sur l'emploi dans le secteur public après avoir étudié l'architecture du site Web et trouvé les points de terminaison de l'API de la base de données. Comme mentionné ci-dessus, cette personne a pu insérer deux entrées dans la base de données non sécurisée et les a ensuite transférées sur le site Web du DOGE.« On a l'impression que tout a été fait à la va-vite. Des tonnes d'erreurs et de détails ont fuité dans le code source de la page », ont déclaré les experts. Ils ont insisté sur le fait que la façon dont le site Web "doge.gov" est configuré suggère qu'il ne fonctionne pas sur des serveurs gouvernementaux.Cette découverte s'inscrit dans le cadre des mauvaises pratiques de la Maison Blanche en matière d'administration de sites Web. Le mercredi 12 février 2025, le site "waste.gov" nouvellement créé a été caché et verrouillé après qu'il s'est avéré qu'il affichait principalement un modèle WordPress non modifié.Ce n'est pas la première que le DOGE d'Elon Musk se retrouve sous le feu des critiques. Au début de ce mois, le DOGE a été vivement critiqué après la révélation du passé cybercriminel d’un de ses jeunes membres. Edward Coristine, 19 ans, a des antécédents professionnels et en ligne qui suscitent des interrogations quant à son accès à des systèmes gouvernementaux sensibles, selon des experts en sécurité. Ce dernier aurait été impliqué dans « The Com » Il s'agit d'une communauté notoire de pirates informatiques opérant sur des plateformes telles que Discord et Telegram. Cette révélation a soulevé de nombreuses questions sur la sécurité des données auxquelles les employés du DOGE ont accès. Comment les candidats ont-ils été évalués avant leur embauche ?Elon Musk a été accusé d'être laxiste. Comment un individu avec un tel historique a-t-il pu obtenir un poste lui donnant accès à des informations hautement sensibles sur différents services du gouvernement fédéral américain ? Quels risques cette situation représente-t-elle pour la cybersécurité gouvernementale ?Bien que seulement âgé de 19 ans, Edward Coristine est loin d’être un inconnu dans le monde de la cybersécurité et du piratage. Il aurait fondé en 2021 une entreprise appelée « Tesla.Sexy LLC » alors qu'il avait environ 16 ans. Edward Coristine est présenté comme le fondateur et le PDG de l'entreprise.Tesla.Sexy LLC contrôle des dizaines de domaines Web, dont au moins deux sont enregistrés en Russie. L'un de ces domaines propose un service appelé Helfie, qui est un robot d'IA pour les serveurs Discord ciblant le marché russe. Cette activité n'est pas illégale, mais elle soulève des inquiétudes quant à ses connexions internationales, notamment dans un contexte où la cybersécurité est devenue une préoccupation majeure des gouvernements occidentaux.De plus, cela pourrait constituer un facteur bloquant lors de l'examen d'une habilitation de sécurité. Un ancien analyste du renseignement américain a déclaré : « il y a peu de chances que ses antécédents aient été vérifiés avant qu'il obtienne un accès privilégié aux systèmes gouvernementaux ».Étant donné la rapidité avec laquelle l'équipe DOGE d'Elon Musk a été autorisée à accéder à des bases de données gouvernementales aussi importantes, Edward Coristine n'a probablement pas passé les tests de vérification des antécédents dans les règles de l'art. Les experts en veulent pour preuve son licenciement rapide. Edward Coristine a été licencié pour avoir prétendument divulgué des informations internes à l'organisation à des personnes extérieures.« Les connexions étrangères, qu'il s'agisse de contacts avec des amis étrangers ou de noms de domaine enregistrés dans des pays étrangers, seraient signalées par n'importe quelle agence au cours du processus d'enquête de sécurité », explique Joseph Shelzi, un ancien officier de renseignement de l'armée américaine qui a détenu une habilitation de sécurité pendant dix ans et géré l'habilitation de sécurité d'autres unités placées sous son commandement.Un autre domaine contrôlé par Edward Coristine est "faster.pw". Le site est actuellement inactif, mais une version archivée datant du 25 octobre 2022 montre un contenu en chinois qui indique que le service a fourni « de multiples réseaux transfrontaliers chiffrés ». Selon les experts, il n'aurait pas dû être embauché.Quel est votre avis sur le sujet ?Que pensez-vous de la faille de sécurité découverte sur le site Web du DOGE d'Elon Musk ?La construction, la configuration et le déploiement du site auraient été bâclés. Qu'en pensez-vous ?Quid des méthodes d'Elon Musk ? Quels impacts cet incident pourrait-il avoir sur la confiance dans le travail du DOGE ?Quels impacts les failles relevées dans l'évaluation préembauche du personnel du DOGE pourraient-elles avoir sur l'organisation ?