Technologie

La plus grande violation des données du gouvernement américain est en cours

Photo of Edward Gunawan Edward Gunawan Send an email 6 days ago
0 8 minutes read
Un gardien de sécurité se trouve à l'entrée du siège de l'USAID le 03 février 2025 à Washington, DC

Les agents travaillant pour Elon Musk ont ​​eu un accès sans précédent à une bande de services gouvernementaux américains – y compris les agences responsables de la gestion des données sur des millions d'employés fédéraux et un système qui gère 6 billions de dollars de paiements aux Américains.

Au cours des deux dernières semaines, le groupe de représentants de Musk – un conseil consultatif présidentiel au sein de l'administration Trump connue sous le nom de ministère de l'efficacité du gouvernement, ou Doge – pris le contrôle des meilleurs départements fédéraux et ensembles de donnéesmalgré les questions sur leurs autorisations de sécurité, leurs pratiques de cybersécurité et la légalité des activités de Musk.

Que ce soit un exploit ou un coup d'État – qui dépend entièrement de votre point de vue – un petit groupe de principalement de jeunes employés du secteur privé Des entreprises et des associés de Musk – beaucoup sans expérience du gouvernement préalable – peuvent désormais voir et, dans certains cas, contrôler les données les plus sensibles du gouvernement fédéral détenues sur des millions d'Américains et les alliés les plus proches du pays.

L'équipe d'accès par Musk's Doge représente le plus large compromis connu des données du gouvernement fédéral par un groupe privé de personnes – et peu de choses ont gêné.

Doge a reconnu quelques détails sur ses activités en cours. Cette tâche a été laissée aux médias, qui a signalé des pratiques de cybersécurité douteuses et la rupture des normes de cybersécurité de longue date qui risquent les données gouvernementales sensibles à l'accès par des acteurs néfastes.

Une grande partie du travail de Doge est d'éviter la surveillance et la transparence, laissant des questions ouvertes si des pratiques de cybersécurité et de confidentialité sont suivies. Il n'est pas clair si les membres du personnel de Doge suivent les procédures pour empêcher que ces données soient accessibles par d'autres personnes, ou si d'autres mesures sont prises pour protéger les données sensibles sur les Américains.

Jusqu'à présent, les preuves suggèrent que la sécurité n'est pas en tête.

Par exemple, un membre du personnel des doches aurait a utilisé un compte Gmail personnel pour accéder à un appel gouvernemental; et un nouvellement déposé procès par les dénonciateurs fédéraux Les affirmations Doge ont ordonné la connexion d'un serveur de messagerie non autorisé au réseau gouvernemental en violation de la loi fédérale sur la vie privée.

Que les membres du personnel de Doge soient de mauvais acteurs manquent une partie du point. Les actes de subterfuge, d'espionnage ou d'ignorance pourraient produire le même résultat sous-optimal: l'exposition ou la perte des ensembles de données sensibles du pays.

Pour l'instant, cela vaut la peine de voir comment nous sommes arrivés ici.

Délies de sécurité douteuses

La facilité dans laquelle Doge a repris les départements et leurs vastes magasins de données des Américains ont pris surprise les responsables de la carrière et les législateurs américains, qui continuent de chercher des réponses à l'administration Trump.

Les efforts de Musk pour prendre le contrôle des magasins de données du pays ont également alarmé privé les professionnels de la cybersécurité, dont certains ont passé leur carrière dans le gouvernement dédié à la sécurisation des systèmes et des données les plus sensibles des Américains.

Des questions demeurent sur le niveau d'autorisation de sécurité que le personnel du Doge a et si leur autorisation de sécurité provisoire leur donne le pouvoir d'exiger l'accès à des systèmes fédéraux restreints. En retournant au bureau, Trump signé un décret Permettre aux responsables de l'administration d'accorder une autorisation de sécurité «top secrète» et compartimentée aux particuliers à des fins provisoires avec peu de vérifications substantielles, une rupture nette des protocoles établis de longue date.

Un gardien de sécurité se trouve à l'entrée du siège de l'USAID le 03 février 2025 à Washington, DCCrédits d'image:Images Kevin Dietsch / Getty

La confusion sur les dégagements du personnel de Doge a conduit à de brèves affrontements entre plusieurs responsables de carrière dans les services fédéraux ces derniers jours. À l'agence américaine pour le développement international, ou USAID, les hauts fonctionnaires ont été mis en congé après avoir obtenu le chemin du personnel de Doge pour protéger les informations classifiées, Selon l'Associated Press. Doge a par la suite eu accès à l'installation classifiée de l'USAID, qui contenait des rapports de renseignement.

Katie Miller, conseillère pour Doge, a déclaré en Un post sur x qu'aucun matériel classifié n'a été accessible par Doge «sans autorisation de sécurité appropriée», bien que les détails de l'autorisation de l'équipe reste non spécifiéy compris le nombre de personnes qui ont obtenu les autorisations secrètes provisoires.

Plusieurs Les législateurs supérieurs du Comité du renseignement du Sénat a déclaré mercredi qu'ils cherchaient toujours des réponses sur Doge et de l'autorisation de ses membres.

«Aucune information n'a été fournie au Congrès ou au public quant à qui a été officiellement embauché sous Doge, en vertu de l'autorité ou des réglementations que Doge fonctionne, ou comment Doge vérifie et surveillait son personnel et ses représentants avant de leur fournir un accès apparemment sans entrave aux documents classifiés et les informations personnelles des Américains », ont écrit les sénateurs.

Le contrôle du gouvernement de Doge

Dans une semaine après l'inauguration du président Trump – et Son décret exécutif établit Doge – Les membres du personnel de Musk ont ​​commencé à infiltrant une variété d'agences fédérales. Les systèmes de paiement sensibles du Trésor américain, qui contiennent des informations personnelles de millions d'Américains qui reçoivent les paiements du gouvernement, des remboursements fiscaux aux chèques de sécurité sociale, a été parmi les premiers.

Doge a aussi accédé à l'accès Au Bureau de la gestion personnelle, le département des ressources humaines du gouvernement qui comprend des bases de données sur les informations personnelles de tous les travailleurs fédéraux, et USAJobs, qui a des données sur les candidats qui ont postulé pour un emploi fédéral.

Les responsables de l'OPM ont déclaré qu'ils n'avaient aucune visibilité ni surveillance sur l'accès de l'équipe de Musk à ses systèmes. “Cela crée de vraies implications de cybersécurité et de piratage”, ont-ils déclaré à Reuters.

L'activité de Doge a conduit à une opposition généralisée, y compris certains républicains.

Le sénateur Ron Wyden (D-OR), qui est le démocrate le plus senior du comité des finances du Sénat, Appelé l'accès de Musk aux systèmes de paiement fédéraux sensibles un risque de sécurité nationaleétant donné le conflit d'intérêts sur ses vastes opérations commerciales en Chine. Un groupe de démocrates seniors a dit Dans une lettre ultérieure au Trésor Cet accès de Doge aux données gouvernementales sensibles «pourrait irrémédiablement endommager la sécurité nationale».

Dans un article sur Bluesky, l'ancien stratège républicain Stuart Stevens appelé la prise de contrôle des systèmes du Trésor comme «la fuite de données les plus importantes de l'histoire du cyber», ajoutant: «Les particuliers dans le secteur des données ont désormais accès à vos informations de sécurité sociale».

Le sénateur américain Chris Murphy (D-CT) parle à une foule rassemblée devant le département du Trésor américain pour protester contre Elon Musk et le ministère de l'efficacité du gouvernement le 4 février 2025 à Washington, DC. Plusieurs membres démocrates de la conférence ont rejoint le rassemblement pour protester contre l'accès de Musk au système de paiement du Trésor, qui abrite les informations privées de millions d'Américains.
Plusieurs sénateurs démocrates et autres en dehors du département du Trésor américain pour protester contre Elon Musk.Crédits d'image:Images Anna Rose Layden / Getty

Le trésor défendu sa décision d'accorder l'accès aux systèmes de paiement sensibles du ministèreconfirmant dans une réponse non attribuée aux législateurs démocrates que l'équipe Doge de Musk a accès aux banques d'informations personnelles du Trésor sur les Américains. La lettre confirme Tom Krause, le directeur général de Groupe de logiciels cloudqui possède Citrix et plusieurs autres sociétés technologiques, est maintenant un employé du Trésor. Krause n'a pas renvoyé de demande de commentaires.

Doge a depuis eu accès à plusieurs systèmes internes sensibles au ministère de l'Éducation, y compris des ensembles de données contenant les informations personnelles sur des millions d'étudiants inscrits à une aide financière. Doge Staff aussi Signifie «l'accès à tous» de la Small Business Administrationy compris les contrats, les paiements et les informations sur les ressources humaines.

L'équipe de musc aurait également accès aux systèmes de paiement au sein du ministère américain de la Santé et des Services sociaux, et accès aux données à l'agence américaine qui administre Medicare et Medicaid. Doge est aussi accéder aux systèmes du personnel à l'administration nationale océanique et atmosphérique, ou NOAA, et prévoit d'accéder aux systèmes au ministère des Transports.

Ramifications nationales et mondiales

Il existe des risques de sécurité incalculables qui proviennent de l'accès au noyau de données intérieur du gouvernement américain à un groupe de particuliers non élus et privés avec un vérification parasite.

Pour ne nommer que quelques choses qui pourraient mal tourner: l'accès au réseau gouvernemental à partir d'un ordinateur non approuvé hébergeant des logiciels malveillants peut compromettre d'autres appareils sur le réseau fédéral et permettre le vol d'informations gouvernementales sensibles, qu'elle soit classée. Et, la mauvaise gestion des informations personnelles sur les appareils ou les environnements cloud qui n'ont pas respecté les normes des principales spécifications de sécurité du gouvernement, ou utilisent les contrôles de sécurité les plus solides, met ces données à risque de compromis ou de fuite supplémentaire.

Ce ne sont pas des scénarios improbables; Ces types de violations se produisent tout le temps.

L'année dernière seulement a vu Certaines des plus grandes violations de données de l'histoire causé par Accès malveillant acquis via les appareils personnels des employés de l'entreprisequi a accidentellement installé des logiciels malveillants en téléchargeant des logiciels de knock-off sur leurs ordinateurs personnels et en n'utilisant pas de protections de sécurité appropriées comme l'authentification multi-facteurs. Tout compromis des informations d'identification ou de l'accès de l'équipe, ou toute manipulation inappropriée des bases de données sensibles pourrait entraîner la perte irrémédiable, le vol ou le mauvais placement des données gouvernementales sensibles.

Le plus troublant est peut-être Doge, et ses activités fonctionnent en dehors de l'examen public.

Les fonctionnaires et les législateurs chargés de la surveillance du gouvernement n'auraient aucun aperçu sur les données à Data Doge au sein du gouvernement, ni sur les contrôles ou protections de la cybersécurité – le cas échéant. Les professionnels du département qui ont passé une grande partie de leur carrière à protéger l'accès aux données stockées dans ces systèmes ne peuvent pas faire grand-chose, mais se tenir debout et regarder des particuliers avec peu ou pas d'expérience au gouvernement préalable de leurs ensembles de données les plus sensibles.

L'avocat de la technologie et de la vie privée Cathy Gellis, Écriture dans TechDirtsoutient que Musk et son équipe Doge sont probablement «personnellement responsables» en vertu de la loi fédérale de piratage américaine, connue sous le nom de Loi sur la fraude et les abus informatiques, qui couvre l'accès des systèmes fédéraux sans l'autorisation appropriée. Un tribunal devrait finalement déterminer l'activité de Doge comme «un accès non autorisé» et donc illégal, a écrit Gellis.

Il y a aussi la question de savoir comment les gouvernements des États américains réagiront au compromis des données de leurs résidents au niveau fédéral. Les États américains ont des lois sur les violations de données exigeant la protection des données de leurs citoyens, même si le gouvernement fédéral ne le fait pas. Il reste à voir l'accès de l'équipe de Musk aux systèmes fédéraux déclenchent une action en justice des États.

L'accès met également des relations avec les États-Unis et ses alliés diplomatiques sur un terrain fragile. Nations alliées peut ne pas vouloir partager des renseignements avec le gouvernement américain S'ils pensent que les informations pourraient fuir, se détendre dans le domaine public ou se perdre autrement à la suite de la rupture des pratiques de cybersécurité visant à protéger les informations sensibles.

En réalité, les conséquences en cybersécurité de l'accès continu de Doge aux services fédéraux et aux ensembles de données peuvent ne pas être connus depuis un certain temps.

Contactez Zack Whittaker sur Signal et WhatsApp à +1 646-755-8849. Vous pouvez également partager des documents en toute sécurité avec TechCrunch via Sécuré.

Source

Photo of Edward Gunawan Edward Gunawan Send an email 6 days ago
0 8 minutes read
Photo of Edward Gunawan

Edward Gunawan

Related Articles

Comment supprimer Facebook, Instagram et Threads

Comment supprimer Facebook, Instagram et Threads

1 hour ago
Amazon teste les clients directement aux sites Web des marques lorsqu'il ne stockait pas leurs produits

Amazon teste les clients directement aux sites Web des marques lorsqu'il ne stockait pas leurs produits

2 hours ago
Epoch Ai Chatgpt Energy Consomption

Chatgpt peut ne pas être aussi avalé que

3 hours ago

Kepala Eksekutif Ford mengatakan kebijakan Trump dapat menyebabkan PHK

4 hours ago

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button