Un scandale de cybersécurité secoue actuellement les sphères gouvernementales américaines, mettant en cause le Département de l'Efficacité Gouvernementale (DOGE), dirigé par Elon Musk. Selon une plainte déposée par le lanceur d'alerte Daniel Berulis, technicien informatique au sein du National Labor Relations Board (NLRB), des membres de DOGE auraient obtenu un accès étendu aux systèmes informatiques de l'agence, permettant l'exfiltration de données sensibles.Dans une déclaration sous serment, Berulis affirme que, dès mars 2025, les protocoles de journalisation du NLRB ont été altérés, et environ 10 gigaoctets de données confidentielles auraient été transférés hors des serveurs de l'agence. Ces informations incluraient des détails sur des activités syndicales, des informations commerciales sensibles et des témoignages privés. De plus, des tentatives de connexion depuis une adresse IP russe utilisant des identifiants valides ont été détectées, bien que bloquées par les politiques de sécurité géographiques en place.
Dans les premiers jours de mars, une équipe de conseillers du nouveau ministère de l'efficacité gouvernementale (DOGE) du président Trump est arrivée au siège du National Labor Relations Board, dans le sud-est de Washington. Cette petite agence fédérale indépendante enquête et statue sur les plaintes relatives aux pratiques de travail déloyales. Elle stocke des quantités de données potentiellement sensibles, qu'il s'agisse d'informations confidentielles sur des employés souhaitant former des syndicats ou d'informations commerciales exclusives.
Les employés du DOGE, qui sont dirigés par Elon Musk, conseiller de la Maison Blanche et PDG milliardaire de l'industrie technologique, semblaient vouloir accéder aux systèmes internes du NLRB. Ils ont déclaré que la mission générale de leur unité était d'examiner les données de l'agence pour s'assurer de leur conformité avec les politiques de la nouvelle administration et pour réduire les coûts et maximiser l'efficacité.
Les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système
Mais d'après une déclaration officielle du lanceur d'alerte partagée avec le Congrès et d'autres superviseurs fédéraux, des entretiens ultérieurs avec le lanceur d'alerte et des enregistrements de communications internes, les membres du personnel technique ont été alarmés par ce que les ingénieurs du DOGE ont fait lorsqu'ils ont obtenu l'accès, en particulier lorsque ces membres du personnel ont remarqué un pic dans les données quittant l'agence. Il est possible que ces données contiennent des informations sensibles sur les syndicats, des affaires juridiques en cours et des secrets d'entreprise (des données qui, selon quatre experts en droit du travail, ne devraient presque jamais quitter le NLRB et qui n'ont rien à voir avec l'amélioration de l'efficacité du gouvernement ou la réduction des dépenses).
Pendant ce temps, selon la divulgation et les enregistrements de communications internes, les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système et ont ensuite semblé essayer de brouiller les pistes, en désactivant les outils de surveillance et en supprimant manuellement les enregistrements de leur accès (un comportement évasif que plusieurs experts en cybersécurité ont comparé à ce que pourraient faire des pirates informatiques criminels ou parrainés par un État).
Les employés se sont inquiétés du fait que les données confidentielles de la NLRB pouvaient être exposées, en particulier après avoir commencé à détecter des tentatives de connexion suspectes à partir d'une adresse IP en Russie, selon la divulgation. Finalement, le service informatique a lancé un examen formel de ce qu'il considérait comme une violation grave et continue de la sécurité ou comme une suppression potentiellement illégale d'informations personnellement identifiables. Le lanceur d'alerte estime que l'activité suspecte justifie une enquête plus approfondie de la part d'agences disposant de plus de ressources, telles que l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency) ou le FBI.
Une manne pour les entreprises
Les experts en droit du travail craignent que si les données sont divulguées, elles pourraient faire l'objet d'abus, notamment de la part d'entreprises privées qui ont des affaires devant l'agence et qui pourraient obtenir des informations sur des témoignages préjudiciables, des dirigeants syndicaux, des stratégies juridiques et des données internes sur les concurrents (SpaceX de Musk en fait partie). Cela pourrait également intimider les lanceurs d'alerte qui pourraient s'exprimer sur des pratiques de travail déloyales, et cela pourrait semer la méfiance quant à l'indépendance du NLRB, ont-ils déclaré.
Les nouvelles révélations sur les activités du DOGE au sein de l'agence du travail proviennent d'un lanceur d'alerte du service informatique du NLRB, qui a fait part de ses inquiétudes au Congrès et au Bureau du conseiller spécial des États-Unis dans un rapport détaillé. Pendant ce temps, ses tentatives pour soulever des problèmes en interne au sein du NLRB ont conduit quelqu'un à « scotcher physiquement une note menaçante » sur sa porte, qui comprenait des informations personnelles sensibles et des photos de lui promenant son chien qui semblaient avoir été prises avec un drone, selon une lettre d'accompagnement jointe à sa déclaration déposée par son avocat, Andrew Bakaj, de l'organisation à but non lucratif Whistleblower Aid.
Elon Musk et la NLRB s'affronte devant les tribunaux
Musk est actuellement engagé dans une bataille juridique avec le NLRB au sujet de la capacité de l'agence à faire respecter le droit du travail. Les avocats de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Artemus24
