DOGE comme cyberattaque nationale
(schneier.com)- Des rapports successifs indiquent que des personnes liées au Department of Government Efficiency (DOGE), nouvellement créé, ont eu accès à des systèmes fédéraux sensibles, notamment ceux du Trésor, de l’USAID, de l’OPM, de Medicaid et de Medicare, ébranlant les mécanismes de contrôle essentiels de la sécurité du gouvernement américain.
- Le problème ne se limite pas à une simple consultation : il inclut des droits d’administrateur, la possibilité de modifier des programmes critiques, l’accès à des clés de chiffrement, la modification de journaux d’audit, la connexion à des serveurs non autorisés et même l’injection de données sensibles dans des logiciels d’IA.
- Le système fédéral de paiements du Trésor traite environ 5,45 billions de dollars par an, et l’OPM détient des informations personnelles détaillées sur des millions d’employés fédéraux et de titulaires d’habilitations de sécurité, avec des implications majeures pour la sécurité nationale.
- Des garde-fous contre les abus comme la séparation des tâches, l’audit, le suivi des changements, la réponse aux incidents et les validations multiples devraient fonctionner, mais le plus grand risque identifié est que les fonctionnaires de carrière qui en avaient la charge aient été écartés ou remplacés.
- Il faut un audit couvrant la révocation des accès non autorisés, le rétablissement des procédures d’authentification, la réintroduction de la supervision et de la gestion des changements, ainsi que la possibilité d’une réinitialisation complète des systèmes ; plus l’accès illimité dure, plus la restauration devient difficile.
L’ampleur de la faille de sécurité créée par l’accès de DOGE
- En quelques semaines, le gouvernement américain a peut-être subi une faille de sécurité d’importance historique, non pas à cause d’une cyberattaque étrangère sophistiquée ou d’une opération d’espionnage, mais sur instruction officielle d’un milliardaire dont le rôle au sein du gouvernement est flou.
- Les personnes liées à DOGE auraient eu accès aux systèmes informatiques du Trésor, les plaçant en position de collecter, ou potentiellement de contrôler, des données de paiements fédéraux représentant environ 5,45 billions de dollars par an.
- La portée de l’accès s’est étendue à plusieurs agences critiques.
- Des membres de DOGE sans habilitation de sécurité ont eu accès aux données classifiées de l’USAID, avec la possibilité qu’elles aient été copiées vers leurs propres systèmes.
- L’OPM, qui détient des informations personnelles détaillées sur des millions d’employés fédéraux et de titulaires d’habilitations de sécurité, est également présenté comme une cible compromise.
- Les dossiers Medicaid et Medicare sont aussi considérés comme compromis.
- Certains noms d’employés de la CIA ont été transmis vers des comptes e-mail non classifiés sans avoir été suffisamment expurgés.
- Des articles indiquent que des membres de DOGE injectent des données du ministère de l’Éducation dans des logiciels d’IA, et qu’ils ont commencé à travailler au ministère de l’Énergie.
Pourquoi bloquer l’accès au Trésor ne suffit pas
- Le 8 février, un juge fédéral a interdit à l’équipe DOGE tout accès supplémentaire aux systèmes du Trésor.
- Mais comme des données ont peut-être déjà été copiées ou des logiciels installés ou modifiés, il n’est pas certain qu’un simple blocage des accès règle le problème.
- Si les employés fédéraux ne respectent pas les protocoles conçus pour protéger la sécurité nationale, d’autres systèmes gouvernementaux critiques pourraient également être compromis.
Pourquoi ces systèmes sont au cœur du fonctionnement de l’État
- Les systèmes auxquels DOGE a accédé ne sont pas des infrastructures périphériques, mais le tissu conjonctif central des opérations gouvernementales.
- Les systèmes du Trésor contiennent le plan technique permettant au gouvernement fédéral de déplacer de l’argent.
- Les réseaux de l’OPM contiennent des informations sur les personnes employées par le gouvernement et sur les organisations avec lesquelles il contracte.
- La compromission de l’OPM par le gouvernement chinois en 2015 a constitué un échec majeur de la sécurité américaine, montrant que les données RH pouvaient être utilisées pour identifier des agents de renseignement et porter atteinte à la sécurité nationale.
Ce qui est inédit n’est pas seulement l’ampleur, mais aussi la méthode
- Les puissances étrangères hostiles cherchent habituellement à infiltrer ce type de systèmes gouvernementaux pendant des années, discrètement et en dissimulant leurs traces.
- Cette fois, des opérateurs externes à l’expérience limitée et presque sans supervision obtiennent, sous surveillance publique, le plus haut niveau de droits d’accès administrateur et modifient des réseaux sensibles américains.
- De tels changements peuvent créer de nouvelles failles de sécurité.
- L’inquiétude la plus grande ne tient pas à l’accès lui-même, mais à l’affaiblissement systématique des dispositifs de sécurité qui détectent et empêchent les abus.
- Protocoles standard de réponse aux incidents
- Audits
- Mécanismes de suivi des changements
- Éviction des fonctionnaires de carrière responsables de ces garde-fous et remplacement par des opérateurs peu expérimentés
Le risque lié au non-respect du principe de séparation des tâches
- Les systèmes informatiques du Trésor ont un impact majeur sur la sécurité nationale et sont conçus selon le principe que, comme pour les protocoles de lancement nucléaire, une seule personne ne doit pas disposer de pouvoirs illimités.
- De même que le lancement de missiles nucléaires exige que deux officiers tournent simultanément leurs clés, les modifications des systèmes financiers critiques ont traditionnellement nécessité l’intervention conjointe de plusieurs personnes habilitées.
- Cette approche relève d’un principe de sécurité appelé séparation des tâches (separation of duties), et non d’une simple procédure bureaucratique.
- Comme la vérification des gros virements dans une banque ou l’approbation des principaux rapports financiers d’une entreprise, les procédures où plusieurs personnes vérifient des éléments dans des rôles distincts sont des garde-fous indispensables contre la corruption et les erreurs.
- Le contournement ou l’ignorance de ces mesures a été comparé à une politique qui consisterait à licencier les gardes de Fort Knox et à autoriser des visites non accompagnées du coffre.
Les droits et changements qui suscitent des inquiétudes concrètes
- L’équipe du sénateur Ron Wyden estime que les intervenants ont obtenu, sur les ordinateurs du Trésor, des droits leur permettant de modifier les programmes critiques qui valident les paiements fédéraux, d’accéder aux clés de chiffrement qui protègent les transactions financières et de modifier les journaux d’audit enregistrant les changements système.
- À l’OPM, des articles indiquent que des personnes liées à DOGE ont connecté au réseau des serveurs non autorisés.
- Des articles indiquent également que des logiciels d’IA sont entraînés sur des données sensibles.
- Les fonctions et la configuration des nouveaux serveurs sont inconnues, et rien ne prouve que le nouveau code ait suivi des protocoles stricts de tests de sécurité.
- De tels systèmes d’IA ne sont pas suffisamment sûrs pour ce type de données et deviennent des cibles idéales pour des adversaires étrangers ou nationaux cherchant à accéder aux données fédérales.
Les vulnérabilités à long terme laissées par les changements système
- Les changements matériels ou logiciels passent normalement par une planification complexe et des mécanismes sophistiqués de contrôle d’accès en raison de l’importance de ces systèmes.
- Aujourd’hui, ces systèmes sont bien plus exposés à des attaques dangereuses, tandis que les administrateurs système légitimes formés pour les protéger sont bloqués.
- Modifier des systèmes critiques peut affecter les opérations actuelles, mais aussi laisser des vulnérabilités exploitables lors de futures attaques.
- Des adversaires comme la Russie et la Chine ciblent depuis longtemps ces systèmes, non seulement pour collecter du renseignement, mais aussi pour comprendre comment les perturber en période de crise.
- Des détails techniques sur le fonctionnement des systèmes, les protocoles de sécurité et les vulnérabilités ont peut-être été exposés à des parties inconnues sans les garde-fous habituels.
Les impacts de sécurité se répartissent en trois domaines
-
Manipulation des systèmes
- Des opérateurs externes peuvent modifier les opérations tout en modifiant aussi les traces d’audit censées suivre ces changements.
-
Exposition des données
- Au-delà de l’accès aux informations personnelles et aux historiques de transactions, ils peuvent copier toute l’architecture système et les paramètres de sécurité.
- Dans le cas du Trésor, cela inclut le plan technique de l’infrastructure fédérale de paiements des États-Unis.
-
Contrôle des systèmes
- En modifiant des systèmes critiques et des mécanismes d’authentification, ils peuvent désactiver les outils conçus pour détecter de tels changements.
- Il ne s’agit pas d’un simple changement opérationnel, mais d’une modification de l’infrastructure même dont dépendent les opérations.
Mesures immédiates nécessaires
- Il faut révoquer les accès non autorisés et rétablir des protocoles d’authentification appropriés.
- Il faut réintroduire une supervision complète des systèmes et une gestion des changements.
- Comme il est difficile de nettoyer des systèmes compromis, une réinitialisation complète des systèmes pourrait être nécessaire.
- Un audit approfondi doit être mené sur tous les changements système effectués pendant cette période.
- Le maintien d’un accès illimité rendra la restauration finale plus difficile et augmentera le risque de dommages irréversibles aux systèmes critiques.
1 commentaires
Avis de Hacker News
Les inquiétudes qu’il soulève, en particulier le fait que des pays hostiles et des acteurs malveillants obtiennent davantage d’occasions de collecter des données et de comprendre comment perturber ou attaquer les États-Unis, semblent fondées.
Il y a une différence entre des élus qui font quelque chose de stupide ou de dangereux, et des personnes non élues qui peuvent faire ce genre de choses sans aucun contre-pouvoir ni contrôle.
À part ça, comme les articles sur ce sujet semblent continuer à être signalés, j’ai upvoté celui-ci, et je respecte Bruce Schneier ainsi que ses nombreux points de vue.
Il me semble qu’il y a eu une affaire assez célèbre autour d’un serveur d’e-mails personnel.
Comparé à ce qui se passe maintenant, c’est vraiment incompréhensible.
Il pourrait y avoir une erreur dans le raisonnement de Schneier :
They are also reportedly training AI software on all of this sensitive data.Faire de l’inférence n’est pas la même chose que de l’entraînement.
Cela dit, je ne pense pas que cet article devrait être signalé. Cela me semble contraire à la liberté d’expression ; d’autres textes de lui ont été très bien accueillis sur HN, et il y a clairement beaucoup de gens qui trouvent ses analyses précieuses. Si l’on n’est pas d’accord, il vaut mieux l’exprimer en commentaire que d’essayer de faire disparaître l’article.
Le point de vue opposé est que l’élection qui vient d’avoir lieu a donné mandat pour auditer et réduire le gaspillage public, et qu’un accès direct aux données est nécessaire pour éviter un problème principal-agent où les bureaucrates déforment les rapports afin de protéger leurs budgets et leurs activités d’une surveillance et d’un contrôle indésirables.
Avec un tel cadrage, même s’il y a des arguments sur le maintien du contrôle des changements, on demande pratiquement au camp adverse de signaler l’article.
Cela dit, mon hypothèse est que leur objectif est en réalité d’entraîner un modèle sur l’ensemble des productions des différents ministères.
Sur le plan de l’exécution technique, ce que l’on voit maintenant revient finalement, à mon avis, à BigBalls et sa bande demandant à de grands modèles de langage quoi faire ensuite. Je parierais que, s’ils sont inculpés plus tard, ce sera leur ligne de défense.
Schneier ne devrait pas être signalé. Depuis quelques jours, j’attendais que quelqu’un propose une évaluation calme et structurée des risques de cybersécurité, et cet article est ce qui s’en rapproche le plus.
Il faut garder à l’esprit le principe de la barrière de Chesterton.
Si le pays survit à cette folie, les logiciels devront être réécrits à partir de zéro. Sinon, il sera impossible de savoir quels acteurs, nationaux ou étrangers, possèdent une connaissance des systèmes.
Les entreprises sont en pratique une quatrième branche informelle du gouvernement. Si le marché actions s’effondre, elles disparaîtront en un instant.
Les flux de financement électoral et de lobbying vers les politiciens se tariront, une panique s’installera et les dirigeants changeront aussi.
Je sais qu’à cause de l’arrêt Citizens United, de l’argent dont l’origine n’est pas révélée peut affluer de n’importe où et soutenir indéfiniment des campagnes électorales, mais pas au point de compenser un effondrement du marché actions causé par une perte de confiance dans le dollar américain et les marchés.
Ce qui est étrange, c’est qu’en apparence Trump applique dès le début le manuel du dictateur de manière désordonnée. Il existe déjà des dictateurs en exercice qui ont écrit ce manuel. Pour purger l’État administratif, il faut contrôler le gouvernement pendant plusieurs mandats. Il faut d’abord remettre l’économie ou la qualité de vie sur les rails aussi vite que possible afin de consolider le pouvoir suprême, le sien ou celui de son successeur. Ensuite, sur plusieurs mandats, utiliser le pouvoir que les citoyens vous ont volontairement donné pour démanteler les contre-pouvoirs à votre propre pouvoir, et remplir les poches et les têtes de votre base. Après cela, même si l’économie s’effondre, on a fait cuire lentement la grenouille de la résistance au point que personne ne peut vous renverser. Puis, quand les gens commencent à se plaindre, on commence à façonner une opposition afin qu’il reste une apparence de liberté politique à exhiber.
Trump semble faire cela à l’envers. Au lieu de se concentrer sur l’économie, il nourrit d’abord sa base, ce qui est une stratégie relativement plus risquée. Cela dit, il ne s’est même pas encore écoulé un mois, donc il lui reste du temps pour commencer à suivre correctement le manuel.
Tant qu’il n’y aura pas de conséquences, ce genre de comportement continuera
À ajouter que ces conséquences devraient être de nature législative ou juridique
En modifiant des systèmes critiques, les attaquants n’ont pas seulement compromis les opérations actuelles : ils ont aussi laissé des vulnérabilités qui pourront être exploitées lors de futures attaques. Cela offre une occasion sans précédent à des adversaires comme la Russie et la Chine. Ces pays ciblent depuis longtemps ce type de systèmes, et ils ne veulent pas seulement collecter des informations : ils cherchent aussi à comprendre comment les perturber en situation de crise
À ce stade, il est vraiment difficile d’imaginer que tout ce coup d’État ne soit pas une attaque de type russe/chinois contre le monde occidental. Cela leur est tellement absurdement favorable qu’il est difficile d’y voir une coïncidence
Peut-être qu’elles se voient comme autre chose que le gouvernement, mais la compétition à laquelle elles ont participé consistait précisément à être élues pour exercer des fonctions gouvernementales
À un moment donné, les outils nécessaires au bon fonctionnement de l’État auront été suffisamment détruits pour ne plus constituer une capacité utilisable
Vraiment ?
Si Dieu le veut, l’État administratif sera mis à genoux par les responsables légitimement élus pour le contrôler
Article lié : « Treasury was warned DOGE access to payments marked an ‘insider threat’ »