Un lanceur d'alerte du National Labor Relations Board (NLRB) a affirmé la semaine dernière que des membres du Department of Government Efficiency (DOGE) d'Elon Musk avaient siphonné des gigaoctets de données des dossiers sensibles de l'agence au début du mois de mars. Le lanceur d'alerte a déclaré que des comptes créés pour le DOGE au NLRB ont téléchargé trois dépôts de code de GitHub. Un examen plus approfondi de l'un de ces ensembles de codes montre qu'il est remarquablement similaire à un programme publié en janvier 2025 par Marko Elez, un employé du DOGE âgé de 25 ans qui a travaillé dans un certain nombre d'entreprises de Musk.Dans les premiers jours de mars, une équipe de conseillers du nouveau ministère de l'efficacité gouvernementale (DOGE) du président Trump est arrivée au siège du National Labor Relations Board, dans le sud-est de Washington. Cette petite agence fédérale indépendante enquête et statue sur les plaintes relatives aux pratiques de travail déloyales. Elle stocke des quantités de données potentiellement sensibles, qu'il s'agisse d'informations confidentielles sur des employés souhaitant former des syndicats ou d'informations commerciales exclusives.
Les employés du DOGE, qui sont dirigés par Elon Musk, conseiller de la Maison Blanche et PDG milliardaire de l'industrie technologique, semblaient vouloir accéder aux systèmes internes du NLRB. Ils ont déclaré que la mission générale de leur unité était d'examiner les données de l'agence pour s'assurer de leur conformité avec les politiques de la nouvelle administration et pour réduire les coûts et maximiser l'efficacité.
Les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système
Mais d'après une déclaration officielle du lanceur d'alerte partagée avec le Congrès et d'autres superviseurs fédéraux, des entretiens ultérieurs avec le lanceur d'alerte et des enregistrements de communications internes, les membres du personnel technique ont été alarmés par ce que les ingénieurs du DOGE ont fait lorsqu'ils ont obtenu l'accès, en particulier lorsque ces membres du personnel ont remarqué un pic dans les données quittant l'agence. Il est possible que ces données contiennent des informations sensibles sur les syndicats, des affaires juridiques en cours et des secrets d'entreprise (des données qui, selon quatre experts en droit du travail, ne devraient presque jamais quitter le NLRB et qui n'ont rien à voir avec l'amélioration de l'efficacité du gouvernement ou la réduction des dépenses).
Pendant ce temps, selon la divulgation et les enregistrements de communications internes, les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système et ont ensuite semblé essayer de brouiller les pistes, en désactivant les outils de surveillance et en supprimant manuellement les enregistrements de leur accès (un comportement évasif que plusieurs experts en cybersécurité ont comparé à ce que pourraient faire des pirates informatiques criminels ou parrainés par un État).
Les employés se sont inquiétés du fait que les données confidentielles de la NLRB pouvaient être exposées, en particulier après avoir commencé à détecter des tentatives de connexion suspectes à partir d'une adresse IP en Russie, selon la divulgation. Finalement, le service informatique a lancé un examen formel de ce qu'il considérait comme une violation grave et continue de la sécurité ou comme une suppression potentiellement illégale d'informations personnellement identifiables. Le lanceur d'alerte estime que l'activité suspecte justifie une enquête plus approfondie de la part d'agences disposant de plus de ressources, telles que l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency) ou le FBI.
Une autorisation illimitée pour lire, copier et modifier les informations contenues dans les bases de données du NLRB
Selon la plainte déposée la semaine dernière par Daniel J. Berulis, un architecte de sécurité de 38 ans au NLRB, des fonctionnaires du DOGE ont rencontré les dirigeants du NLRB le 3 mars et ont exigé la création de plusieurs comptes « administrateur locataire » tout-puissants qui devaient être exemptés de l'activité de journalisation du réseau qui, autrement, conserverait un enregistrement détaillé de toutes les actions effectuées par ces comptes.
Berulis a déclaré que les nouveaux comptes du DOGE disposaient d'une autorisation illimitée pour lire, copier et modifier les informations contenues dans les bases de données du NLRB. Les nouveaux comptes pouvaient également restreindre la visibilité des journaux, retarder leur conservation, les acheminer ailleurs ou même les supprimer complètement - des privilèges d'utilisateur de premier plan que ni Berulis ni son patron ne possédaient.
Berulis a déclaré avoir découvert que l'un des comptes DOGE avait téléchargé trois bibliothèques de code externes à partir de GitHub que ni le NLRB ni ses sous-traitants n'ont jamais utilisées. Un fichier « readme » dans l'un des paquets de code expliquait qu'il avait été créé pour faire tourner les connexions à travers un grand pool d'adresses Internet sur le cloud qui servent « de proxy pour générer des IP pseudo-infinies pour le web scraping et le brute forcing ». Les attaques par force brute impliquent des tentatives de connexion automatisées qui essaient de nombreuses combinaisons d'informations d'identification en séquence rapide.
Une recherche sur cette description dans Google fait apparaître un dépôt de code sur GitHub pour un utilisateur ayant le nom de compte « Ge0rg3 » qui a publié un programme il y a environ quatre ans appelé « requests-ip-rotator », décrit comme une bibliothèque qui permettra à l'utilisateur « de contourner les limites de débit basées sur l'IP pour les sites et les services ».
« Une bibliothèque Python permettant d'utiliser le grand pool d'adresses IP d'AWS API Gateway comme proxy afin de générer des adresses IP pseudo-infinies pour le web scraping et le brute forcing », peut-on lire dans la description.
Le code de Ge0rg3 est « open source », c'est-à-dire que tout le monde peut le copier et le réutiliser à des fins non commerciales. Il se trouve qu'il existe une version plus récente de ce projet dérivé ou « forké » du code de Ge0rg3 - appelé « async-ip-rotator » - qui a été déposée sur GitHub en janvier 2025 par Marko Elez, faisant partie des effectifs du DOGE.
Membre clé du personnel du DOGE qui a eu accès au système de paiement central du département du Trésor, Elez a travaillé pour un certain nombre d'entreprises de Musk, dont X, SpaceX et xAI. Elez a été l'un des premiers employés de la DOGE à faire l'objet d'un examen public, après que le Wall Street Journal l'a associé à des messages sur les médias sociaux qui prônaient le racisme et l'eugénisme.
Elez a démissionné après ce bref scandale, mais a été réembauché après que le président Donald Trump et le vice-président JD Vance ont exprimé leur soutien à son égard. Politico rapporte qu'Elez est maintenant un assistant du ministère du Travail affecté à plusieurs agences, dont le ministère de la Santé et des Services sociaux.
« Au cours de son premier séjour au Trésor, Elez a violé les politiques de sécurité de l'information de l'agence en envoyant une feuille de calcul contenant des noms et des informations sur les paiements à des fonctionnaires de la General Services Administration », a écrit Politico, citant des dépôts de cour.
Le NLRB est effectivement paralysé depuis que le président Trump a renvoyé trois membres du conseil, laissant l'agence sans le quorum dont elle a besoin pour fonctionner. Amazon et SpaceX de Musk ont poursuivi le NLRB pour des plaintes déposées par l'agence dans des litiges concernant les droits des travailleurs et l'organisation syndicale, arguant que l'existence même du NLRB est inconstitutionnelle. Le 5 mars, une cour d'appel américaine a rejeté à l'unanimité l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.