Une révélation fracassante dénonce une grave faille de cybersécurité gouvernementale aux USA. Un haut responsable dénonce comment le DOGE, le fameux département de l'Efficacité gouvernementale, aurait permis l'exfiltration massive de données sensibles vers la Russie.
Dans le monde parfois opaque de la cybersécurité fédérale, rares sont les révélations aussi explosives que celle qui secoue presque secrètement Washington ces derniers jours. Daniel Berulis, architecte DevSecOps senior à la National Labor Relations Board, autrement dit l'agence américaine des droits des salariés, vient de lancer une alerte qui pourrait bien ébranler l'administration actuelle.
Son témoignage détaille comment le Department of Government Efficiency (DOGE) cher à Donald Trump et Elon Musk, aurait orchestré une opération d'infiltration permettant à des acteurs russes d'accéder à des données ultra-sensibles.
Le DOGE, cheval de Troie aux privilèges illimités
L'affaire prend racine au début du mois de mars, lorsque le DOGE exige un accès « tenant owner » aux systèmes cloud Azure de la NLRB, c'est-à-dire un contrôle total. Un niveau de privilège surréaliste qui place les agents du DOGE au-dessus même du directeur informatique de l'agence.
« C'est comme donner les clés du coffre-fort à un parfait inconnu et lui tourner le dos », résume Matt Johansen, expert en cybersécurité qui a décortiqué la dénonciation. Plus troublant encore, le DOGE aurait explicitement demandé la désactivation des journaux d'activité et des mécanismes de surveillance réseau.
Selon Daniel Berulis, un responsable adjoint aurait transmis la consigne claire « de ne pas respecter les procédures standards » concernant la création des comptes DOGE, pour punir toute trace de leurs opérations. Voilà une manœuvre qui rappelle davantage les techniques des groupes APT, ces collectifs de hackers très organisés souvent liés à des États, que les pratiques d'une agence gouvernementale.
Les conséquences ne se sont en tout cas pas fait attendre. En quelques jours, Berulis a observé un pic anormal de trafic sortant, équivalent à environ 10 gigaoctets exfiltrés depuis NxGen, la base de données juridique sensible de la NLRB. L'analyse révèle même l'utilisation d'outils comme « requests-ip-rotator » et « browserless », des bibliothèques GitHub typiquement employées pour l'extraction agressive de données et les attaques par force brute. Sans parler des règles d'accès conditionnel Azure, modifiées pour désactiver l'authentification à multiples facteurs sur les appareils mobiles.
Des identifiants américains entre des mains russes
Le détail le plus glaçant du témoignage concerne la rapidité avec laquelle les informations ont traversé les frontières. Dans les 15 minutes suivant la création des comptes DOGE, des tentatives de connexion ont été détectées depuis la région de Primorskiy Krai, en Russie.
Comment expliquer que ces acteurs étrangers disposaient déjà des identifiants et mots de passe corrects ? Deux hypothèses s'imposent : soit les appareils du DOGE étaient compromis, soit... la conclusion alternative est bien plus troublante.
La facture Azure de l'agence, elle, n'a pas tardé à refléter ces activités suspectes, avec une hausse subite de 8% sans nouvelles ressources déclarées ! Ce phénomène, typique des opérations d'extraction massive utilisant des ressources éphémères de haute performance, n'a déclenché aucune alarme au sein de l'infrastructure fédérale. Et le temps que Daniel Berulis comprenne l'ampleur de la compromission, les données sensibles avaient déjà franchi les frontières numériques.
Une tentative d'intimidation qui fait froid dans le dos
Évidemment, l'intimidation n'a pas tardé. Le 7 avril, quelques jours seulement avant la publication de sa dénonciation officielle, Daniel Berulis découvrait sur sa porte d'entrée une note menaçante accompagnée de photos prises par drone le montrant dans son quartier.
Un message explicite faisant référence à son témoignage en préparation. Les autorités, alertées, enquêtent désormais sur ce qui pourrait constituer l'une des plus graves compromissions de données fédérales de ces dernières années.
