Un scandale de cybersécurité secoue actuellement les sphères gouvernementales américaines, mettant en cause le Département de l'Efficacité Gouvernementale (DOGE), dirigé par Elon Musk. Selon une plainte déposée par le lanceur d'alerte Daniel Berulis, technicien informatique au sein du National Labor Relations Board (NLRB), des membres de DOGE auraient obtenu un accès étendu aux systèmes informatiques de l'agence, permettant l'exfiltration de données sensibles.Dans une déclaration sous serment, Berulis affirme que, dès mars 2025, les protocoles de journalisation du NLRB ont été altérés, et environ 10 gigaoctets de données confidentielles auraient été transférés hors des serveurs de l'agence. Ces informations incluraient des détails sur des activités syndicales, des informations commerciales sensibles et des témoignages privés. De plus, des tentatives de connexion depuis une adresse IP russe utilisant des identifiants valides ont été détectées, bien que bloquées par les politiques de sécurité géographiques en place.
Dans les premiers jours de mars, une équipe de conseillers du nouveau ministère de l'efficacité gouvernementale (DOGE) du président Trump est arrivée au siège du National Labor Relations Board, dans le sud-est de Washington. Cette petite agence fédérale indépendante enquête et statue sur les plaintes relatives aux pratiques de travail déloyales. Elle stocke des quantités de données potentiellement sensibles, qu'il s'agisse d'informations confidentielles sur des employés souhaitant former des syndicats ou d'informations commerciales exclusives.
Les employés du DOGE, qui sont dirigés par Elon Musk, conseiller de la Maison Blanche et PDG milliardaire de l'industrie technologique, semblaient vouloir accéder aux systèmes internes du NLRB. Ils ont déclaré que la mission générale de leur unité était d'examiner les données de l'agence pour s'assurer de leur conformité avec les politiques de la nouvelle administration et pour réduire les coûts et maximiser l'efficacité.
Les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système
Mais d'après une déclaration officielle du lanceur d'alerte partagée avec le Congrès et d'autres superviseurs fédéraux, des entretiens ultérieurs avec le lanceur d'alerte et des enregistrements de communications internes, les membres du personnel technique ont été alarmés par ce que les ingénieurs du DOGE ont fait lorsqu'ils ont obtenu l'accès, en particulier lorsque ces membres du personnel ont remarqué un pic dans les données quittant l'agence. Il est possible que ces données contiennent des informations sensibles sur les syndicats, des affaires juridiques en cours et des secrets d'entreprise (des données qui, selon quatre experts en droit du travail, ne devraient presque jamais quitter le NLRB et qui n'ont rien à voir avec l'amélioration de l'efficacité du gouvernement ou la réduction des dépenses).
Pendant ce temps, selon la divulgation et les enregistrements de communications internes, les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système et ont ensuite semblé essayer de brouiller les pistes, en désactivant les outils de surveillance et en supprimant manuellement les enregistrements de leur accès (un comportement évasif que plusieurs experts en cybersécurité ont comparé à ce que pourraient faire des pirates informatiques criminels ou parrainés par un État).
Les employés se sont inquiétés du fait que les données confidentielles de la NLRB pouvaient être exposées, en particulier après avoir commencé à détecter des tentatives de connexion suspectes à partir d'une adresse IP en Russie, selon la divulgation. Finalement, le service informatique a lancé un examen formel de ce qu'il considérait comme une violation grave et continue de la sécurité ou comme une suppression potentiellement illégale d'informations personnellement identifiables. Le lanceur d'alerte estime que l'activité suspecte justifie une enquête plus approfondie de la part d'agences disposant de plus de ressources, telles que l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency) ou le FBI.
Une manne pour les entreprises
Les experts en droit du travail craignent que si les données sont divulguées, elles pourraient faire l'objet d'abus, notamment de la part d'entreprises privées qui ont des affaires devant l'agence et qui pourraient obtenir des informations sur des témoignages préjudiciables, des dirigeants syndicaux, des stratégies juridiques et des données internes sur les concurrents (SpaceX de Musk en fait partie). Cela pourrait également intimider les lanceurs d'alerte qui pourraient s'exprimer sur des pratiques de travail déloyales, et cela pourrait semer la méfiance quant à l'indépendance du NLRB, ont-ils déclaré.
Les nouvelles révélations sur les activités du DOGE au sein de l'agence du travail proviennent d'un lanceur d'alerte du service informatique du NLRB, qui a fait part de ses inquiétudes au Congrès et au Bureau du conseiller spécial des États-Unis dans un rapport détaillé. Pendant ce temps, ses tentatives pour soulever des problèmes en interne au sein du NLRB ont conduit quelqu'un à « scotcher physiquement une note menaçante » sur sa porte, qui comprenait des informations personnelles sensibles et des photos de lui promenant son chien qui semblaient avoir été prises avec un drone, selon une lettre d'accompagnement jointe à sa déclaration déposée par son avocat, Andrew Bakaj, de l'organisation à but non lucratif Whistleblower Aid.
Elon Musk et la NLRB s'affronte devant les tribunaux
Musk est actuellement engagé dans une bataille juridique avec le NLRB au sujet de la capacité de l'agence à faire respecter le droit du travail. Les avocats de SpaceX, la société de Musk, ont fait valoir devant un tribunal en novembre que la structure du NLRB était inconstitutionnelle.
Une décision défavorable à l'agence pourrait réduire considérablement son pouvoir.
La bataille juridique a commencé après que le NLRB a accusé SpaceX de licencier illégalement des employés qui avaient publiquement critiqué Musk.
L'organisation à but non lucratif Whistleblower Aid, qui représente Berulis sur le plan juridique, a transmis sa déclaration sous serment dans une lettre adressée aux sénateurs Tom Cotton et Mark Warner. Tom Cotton et Mark Warner, respectivement premier républicain et premier démocrate de la commission sénatoriale sur le renseignement. Il a demandé à la commission d'enquêter sur cette affaire.
La lettre décrit les actions du DOGE comme pouvant constituer une « violation importante de la cybersécurité qui a probablement exposé et continue d'exposer notre gouvernement aux services de renseignement étrangers et aux adversaires de notre nation ».
Berulis a déclaré à Reuters lors d'une interview mardi que les données en question comprennent des informations commerciales exclusives provenant de concurrents, d'organisations syndicales et de défendeurs de pratiques déloyales de travail, ainsi que leurs revendications, y compris des déclarations sous serment privées. « Ce type de pic est extrêmement inhabituel car les données ne quittent presque jamais directement les bases de données du NLRB », a déclaré Berulis dans sa déclaration sous serment.
Berulis affirme dans sa déclaration sous serment qu'il y a eu des tentatives de connexion aux systèmes du NLRB à partir d'une adresse IP en Russie dans les jours qui ont suivi l'accès aux systèmes par le DOGE. Il a déclaré à Reuters mardi que les tentatives de connexion comprenaient apparemment des combinaisons correctes de nom d'utilisateur et de mot de passe, mais qu'elles avaient été rejetées par des politiques d'accès conditionnel liées à la localisation.
La déclaration sous serment de Berulis indique que ses efforts et ceux de son collègue pour enquêter officiellement et alerter l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont été interrompus par des supérieurs sans explication.
Alors que lui et ses collègues se préparaient à transmettre les informations qu'ils avaient recueillies à la CISA, il a reçu une note menaçante scotchée à la porte de son domicile, accompagnée de photographies de lui se promenant dans son quartier, prises par un drone, a déclaré Andrew Bakaj, conseiller juridique principal de Whistleblower Aid, dans sa soumission à Cotton et Warner.
« Contrairement à ce qui s'est passé auparavant, les gens ont peur de s'exprimer par crainte de représailles », a déclaré Berulis à Reuters. « Nous voyons des données qui sont traditionnellement protégées par les normes les plus strictes du gouvernement américain être prises et les personnes qui essaient d'empêcher cela, les personnes qui disent non, sont éliminées les unes après les autres ».
Le DOGE d'Elon Musk aurait réduit les effectifs des organismes de surveillance chargés d'enquêter sur les Teslas autonomes
Tesla est dans la tourmente avec une chute brutale de 55 % de ses actions par rapport à leur sommet de mi-décembre. Dans le même temps, les logiciels Autopilot et Full Self-Driving de Tesla font l'objet d'une enquête fédérale de la part de la NHTSA en raison de défaillances techniques qui ont conduit à des accidents graves, parfois mortels. Mais un rapport souligne que le DOGE d'Elon Musk s'en est pris au personnel chargé d'examiner la sécurité des véhicules autonomes comme ceux que Tesla veut construits. Environ 4 % du personnel de la NHTSA auraient été licenciés, une décision que les critiques considèrent comme un conflit d'intérêts.
Les critiques affirment qu'Elon Musk est mal placé pour diriger le DOGE. Dans un message publié en février sur X (ex-Twitter), l'ancien secrétaire au travail Robert Reich, qui a servi dans l'administration Clinton, a écrit : « la NHTSA est la dernière agence fédérale à être touchée par les licenciements du DOGE. C'est cette même agence qui a enquêté sur les accidents impliquant les voitures autonomes de Tesla. Il n'a jamais été question d'efficacité ».
Le sénateur démocrate Chris Murphy, du Connecticut, est également de cet avis...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.