« Le DOGE a copié l'intégralité de la base de données de la sécurité sociale vers un système cloud non sécurisé », d'après un lanceur d'alerte

Qui soulève la problématique du passage des mainframes au cloud

« Le DOGE a copié l’intégralité de la base de données de la sécurité sociale vers un système cloud non sécurisé », d’après un lanceur d’alerte
Qui soulève la problématique du passage des mainframes au cloud

Un lanceur d'alerte affirme qu'un ancien haut responsable du DOGE, aujourd'hui employé par l'administration de la sécurité sociale, a copié les numéros de sécurité sociale, les noms et les dates de naissance de plus de 300 millions d'Américains dans une section privée du cloud de l'agence. La manœuvre sujette à controverse étant donné les risques en matière de sécurité liés au fait d’opter pour le cloud s’inscrit dans le cadre des tentatives de migration des systèmes de systèmes informatiques de l’administration de la sécurité sociale (SSA) vers le cloud.

Des mainframes au cloud : Quels avantages et quels inconvénients ?

L’alerte est fondée quand on prend en compte les vols de données opérés ces dernières années par des tiers sur divers services dans le nuage.

Les avantages du cloud computing sont une évidence. Les plus notables sont : la réduction des coûts de maintenance d’une infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc. Cependant, devant toutes les possibilités offertes, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable défi :

• la fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
• l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
• l’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
• le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
• une action malveillante lancée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
• les menaces persistantes avancées qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaques difficile à détecter pour un fournisseur de services cloud ;
• la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
• les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
• utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
• le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
• les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.

« NUMIDENT contient toutes les données fournies dans une demande de carte de sécurité sociale américaine, notamment le nom du demandeur, son lieu et sa date de naissance, sa nationalité, son origine ethnique, les noms et numéros de sécurité sociale de ses parents, son numéro de téléphone, son adresse et d'autres informations personnelles. Si des personnes mal intentionnées accèdent à cet environnement cloud, les Américains pourraient être exposés à une vague d'usurpation d'identité, perdre des prestations essentielles en matière de santé et d'alimentation, et le gouvernement pourrait être contraint de réattribuer à chaque Américain un nouveau numéro de sécurité sociale, ce qui entraînerait des coûts considérables », souligne le lanceur d’alerte.

The real scandal? Bureaucrats allowed a live replica of NUMIDENT data - containing every American's SSA application details - to be dumped into an unsecured AWS cloud environment without proper ATO authorization. This wasn't "reckless behavior" by reformers, but systemic security…

— DOGEai (@dogeai_gov) August 26, 2025

Des risques additionnels sont envisageables compte tenu de la rapidité de la migration envisagée

Les systèmes de la SSA reposent sur une infrastructure complexe, avec plus de 60 millions de lignes de code COBOL. Ce langage, créé dans les années 1950, a été largement adopté pour les applications de traitement de transactions sur les mainframes. Le « logiciel central » de la SSA, responsable de l'émission des numéros de sécurité sociale et de la gestion des paiements, est principalement écrit en COBOL. Une tentative de modernisation en 2017 avait prévu cinq ans pour remplacer ces systèmes, mais la pandémie de COVID-19 en 2020 a interrompu ces plans.

Les experts expriment de vives inquiétudes quant à la rapidité de la migration envisagée. Une transition précipitée pourrait entraîner des défaillances systémiques, des paiements erronés, des sous-paiements, des paiements excessifs ou même des omissions de paiements pour les bénéficiaires. La complexité des systèmes existants nécessite des tests approfondis pour garantir l'exactitude des résultats après la migration. Certains techniciens de la SSA avertissent que des erreurs invisibles pourraient survenir, affectant potentiellement des millions d'Américains.

Comme beaucoup d'anciens systèmes informatiques gouvernementaux, les systèmes SSA contiennent du code écrit en COBOL, un langage de programmation créé en partie dans les années 1950 par Grace Hopper, pionnière de l'informatique. Le ministère de la défense a essentiellement fait pression sur l'industrie privée pour qu'elle utilise le COBOL peu après sa création, ce qui a favorisé son adoption à grande échelle et en a fait l'un des langages les plus utilisés pour les ordinateurs centraux, c'est-à-dire les systèmes informatiques qui traitent et stockent rapidement de grandes quantités de données, dans les années soixante-dix. (Au moins un site web lié au ministère de la Défense faisant l'éloge des réalisations de Hopper n'est plus actif, probablement à la suite de la purge des reconnaissances militaires par le ministère de l'Intérieur de l'administration Trump).

They placed SSA's entire NUMIDENT database on a vulnerable server in the cloud, exposing everyone's SSN, DOB, POB, and other sensitive information. EVERYONE'S.https://t.co/N16fKtcjPO

— Bruce Duck (@BruceDuck2) August 27, 2025

Les mainframes, bien qu’encore présents dans les banques et les assurances, sont en voie de disparition et de nombreuses offres basées sur le cloud tendent à accélérer cette tendance

Plus de 50 ans après l'apparition du premier mainframe, le System/360 d'IBM, ces machines imposantes sont encore très présentes dans les secteurs de la banque, de l'assurance et du commerce de détail, grâce à leur capacité à traiter efficacement d'énormes volumes de transactions, et à leur réputation en matière de sécurité et de temps de fonctionnement. Cependant, ces systèmes sont incroyablement coûteux et difficiles à entretenir, et le nombre de personnes qualifiées pour s'occuper de ces logiciels anciens ne cesse de diminuer. C’est la raison de la montée en puissance d’offres comme celle d’AWS qui tente d'inciter ses clients à délaisser les mainframes et migrer vers ses centres de données.



L’offre vise à faire migrer les systèmes de COBOL, l'un des premiers langages de programmation courants orientés vers les entreprises, vers un remplaçant plus moderne comme Java, dans les délais les plus réduits possibles.

Source : CDO

Et vous ?

La dépendance au COBOL dans des systèmes tels que celui de la SSA est-elle un obstacle irréductible à leur modernisation, ou existe-t-il des solutions moins risquées pour rénover l'infrastructure ?

Est-il possible de mener une transition en douceur en adoptant une approche progressive, en réécrivant le code par phases, tout en continuant à garantir la continuité des paiements ?

La SSA devrait-elle envisager une collaboration avec des experts externes pour mener cette migration de manière plus efficace, compte tenu de la complexité et de la rapidité du projet ?

Le timing de cette migration (en l'espace de quelques mois) est-il réaliste, surtout dans un contexte où des erreurs pourraient affecter des millions d'Américains ?

Quelle serait la solution optimale pour garantir que la transition ne perturbe pas les services de sécurité sociale, même si cela nécessite de repousser le délai de migration ?

Voir aussi :

Un juge ordonne à Elon Musk et au DOGE de supprimer les données personnelles extraites de la Sécurité sociale, l'ordonnance bloque également l'accès illimité du DOGE aux dossiers de la Sécurité sociale