Samedi Sécurité: le DOGE est une faille de Sécurité Nationale aux USA !, Réactions à la publication du 16/02/2025

[Paul Emploi]

J'aime le logo de l'agence Américaine DOGE, dont la mission est d'augmenter l'efficacité de l'administration en diminuant les coûts, beaucoup moins les raccourcis pris pour effectuer cette mission.

On vient d'apprendre que lors de son inspection de l'agence USAID, des données sensibles ont été accédées et recopiées par des personnes non-abilitées et sur des ordinateurs portables non-validés ni protégés adéquatement.
Normalement pour le niveau d'accès requis, la personne doit suivre une procédure d'habilitation, incluant au moins les antécédents judiciaires, professionnels et financiers, mais qui peut s'étendre à son entourage voire à être interrogée pour lever tout doute.
Évidemment on ne fait pas ça depuis un micro-ordinateur lambda, même avec un bon antivirus dessus.

C'est allé bien plus loin, beaucoup plus loin. Lire ici l'article de Bruce Schneier (en Anglais).

Il y a des règles, des procédures, qui certes ralentissent les choses mais sont là pour assurer un niveau de sécurité maximum.
Ça n'est pas l'état d'esprit dans la Silicon Valley et chez ses entrepreneurs, pour qui ça passe ou ça casse. Et si cette façon de faire est probablement plus efficace, elle ne devrait pas être faite avec des risques énormes sur la population.
Mais après tout, Tesla teste son "FSD" (conduite partiellement autonome) sur route ouverte depuis des années sans consentement, information ni certification. Comme ses concurrents d'ailleurs.

Pour ma part et concernant les paiements et les projets d'USAID, je pense qu'ils devraient être publics donc accessibles aux citoyens et résidents des États-Unis.
Elon Musk doit penser la même chose, et voilà-t-y pas qu'en deux coups de cuillère-à-pot il a fait créer un site Web pour délivrer cette information au grand-public. En quelques jours!

Patatra!!!
Voilà que le site Web créé est perclus de failles de sécurité, en fait l'accès à sa base-de-donnée est tout sauf protégé, permettant non seulement d'y lire les mêmes informations affichées sur le site, mais aussi d'en modifier ou d'en ajouter!
Il semble de plus hébergé hors de serveurs gouvernementaux Américains.

Des petits coquins se sont fait plaisir avec malice en y introduisant des entrées cocasses!

Aller vite c'est bien, mais les règles et procédures de sécurité existent pour de bonnes raisons, et le DOGE ne semble pas le comprendre, agissant très brutalement sans les respecter!

Vous voulez en savoir plus? Lisez l'article de Bruce Schneier (en Anglais) et sur Ars technica concernant le site Web du DOGE.

C'est un sujet politique et je ne suis pas inquiet connaissant votre grande retenue habituelle, mais je tiens à préciser que Trump, les programmes d'USAID, ne sont évidemment pas bienvenus, restons sur le domaine de la sécurité!

Lien vers le billet original

[amike]

Cela me rappelle le principe de Heisenberg : l'audit n'est pas neutre et perquisitionner revient à modifier l'état de ce que l'on voulait connaître.

Sinon, je pense que la pire cyberattaque n'est pas une intrusion au vu de tous mais lorsqu'elle se fait en silence.

Schneier se plaint que l'intrusion est brutale et ne respecte pas les procédures existantes. On peut en convenir, mais aussi peut-être penser que rien n'avait vraiment été prévu pour les contrôles.

La sécurité du contenant a beaucoup d'importance pour lui et on peut espérer qu'il ne cherche pas à maintenir l'opacité (quoique, vu les sources qu'il réfère).
Mais il faut bien se rendre compte que la robustesse du contenant est relative quand on (une autorité) veut absolument avoir le contenu, et que ce dernier semble avoir été obscurci : quand on omet le pourquoi et le pour-quoi (catégories des dépenses et justificatifs), il ne faut pas s'étonner qu'on cherche aussitôt le qui et le à qui (les comptes).

Dans chaque système, il y a des éléments "critiques" qui sont trop souvent mélangés à d'autres pour profiter des moyens dispo. Il ne faut pas s'étonner alors que tout se retrouve sans dessus-dessous un jour ou l'autre.