L'infrastructure web du projet gouvernemental DOGE est une véritable passoire ouverte à tous (ou presque). En raison de sa mauvaise conception, le site officiel de l'initiative du Gouvernement américain est protégé de manière dérisoire, laissant libre cours aux intrusions malveillantes et compromettant la sécurité des données sensibles.
Le Department of Government Efficiency (DOGE) ; dirigé par Musk ; a pour projet de réaliser des milliers de dollars d'économies dans les dépenses du gouvernement fédéral américain. Le tout en modernisant les systèmes gouvernementaux, grâce à des technologies avancées pour améliorer l'efficacité et la transparence des services publics.
Depuis le mois de janvier, le DOGE s'est même doté d'un site officiel : doge.gov Passé au crible par des experts en sécurité qui ont alerté 404 Media, celui-ci comporte une série de défaillances qui remettent en question l'intégrité même du système. Assez ironique quand on y pense, surtout que l'infrastructure est censée héberger des informations sensibles sur les systèmes financiers fédéraux.
La sécurité ? On verra ça plus tard
La principale tare du site se trouve dans la conception de sa base de données. Au lieu d'implémenter une architecture multicouche sécurisée, le site utilise une connexion directe à sa base de données, accessible sans vrai mécanisme d'authentification robuste. Cette configuration expose l'interface de gestion des données à quiconque possède les connaissances techniques basiques pour identifier les points d'accès. Toute modification ou publication de contenu indésirable est donc possible.
C'est exactement ce qu'on fait les deux experts ayant repéré cette faille béante, en insérant des entrées non autorisées dans cette base de données aussi fragile qu'un mur de paille. Les messages « this is a joke of a .gov site » (« Ce site gouvernemental est une farce") et « THESE 'EXPERTS' LEFT THEIR DATABASE OPEN -roro » (« Ces "experts" ont laissé leur base de données ouverte ») sont apparus directement sur le site en production. Messages un peu moqueurs qui sont restés visibles durant quelques heures.
Cela signifie donc, d'une part, qu'il y a une absence totale de validation des entrées, qui permet l'injection directe de code HTML et JavaScript dans la base de données. D'autre part, l'inexistence de mécanismes de vérification d'intégrité signifie que les modifications apportées à la base de données sont automatiquement répercutées sur le site sans aucune validation ni historisation des changements.
Aucun verrou, aucune barrière : l’invitation ouverte aux hackers
Le site opère en dehors des serveurs gouvernementaux traditionnels, s'affranchissant des protocoles de sécurité fédéraux standardisés, alors même que sa bannière le présentait comme « un site officiel du gouvernement des États-Unis ». Pour une plateforme gouvernementale, ce choix est clairement dangereux, sachant que DOGE dispose d'un accès privilégié aux systèmes financiers fédéraux contenant les données personnelles de millions d'Américains. Sans pare-feu applicatif ni système de journalisation, la plateforme devient donc une cible de choix.
Il est de plus resté complètement vide pendant plusieurs semaines après son lancement, n'affichant que trois lignes de texte et un logo caricatural qui a depuis été retiré. Jeudi dernier, il y a eu un peu de changement, puisqu'il intègre les publications du compte X de DOGE et présente quelques statistiques sur la réglementation gouvernementale et la fonction publique fédérale. Et… c'est tout.
Une mise à jour qui ne répond toujours pas aux préoccupations concernant la sécurité de l'infrastructure. Une approche assez nonchalante et irresponsable pour une administration censée être exemplaire dans la gestion des systèmes numériques et la protection des données sensibles des citoyens.
Source : The Verge
