Le site doge.gov que n’importe qui peut mettre à jour
(404media.co)- doge.gov, qui suit l’avancement des réductions de l’administration fédérale par Elon Musk, s’avère récupérer ses données depuis une base de données modifiable par des personnes extérieures
- Les deux personnes ayant découvert la faille ont indiqué à 404 Media que des opérations d’écriture par des tiers étaient possibles et que le contenu saisi s’affichait effectivement sur le site web
- Un codeur a ajouté au moins deux entrées à la base de données visibles sur le site en production, avec des messages se moquant du site .gov et signalant que la base de données était ouverte
- Le site a été déployé à la hâte après que Musk a déclaré qu’il publierait les activités de DOGE sur le compte @DOGE de X et sur le site web de DOGE ; un miroir des publications et des statistiques sur les effectifs fédéraux ont ensuite été ajoutés
- Deux spécialistes du développement web, anonymes, estiment que doge.gov semble être construit sur Cloudflare Pages plutôt que sur des serveurs gouvernementaux, et que le code réellement exécuté y est également déployé
Une base de données doge.gov modifiable par des tiers
- doge.gov est un site web créé pour suivre les activités de réduction de l’administration fédérale menées par Elon Musk
- Les deux personnes ayant découvert la faille ont indiqué à 404 Media que le site récupère ses données depuis une base de données que n’importe qui peut modifier
- Il a été confirmé que, lorsqu’une personne extérieure écrit une entrée dans la base de données, cette entrée s’affiche sur le site web en production
Des entrées injectées affichées sur le site réel
- Un codeur a ajouté au moins deux entrées à la base de données, et celles-ci étaient visibles sur le site doge.gov réel
- « this is a joke of a .gov site »
- « THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro »
- Les deux entrées étaient traitées comme des éléments affichés sur la page workforce de doge.gov
Le site web de DOGE étendu à la hâte
- doge.gov a été déployé à la hâte après qu’Elon Musk a déclaré à des journalistes que le Department of Government Efficiency cherchait à être « aussi transparent que possible »
- Musk a indiqué que les actions de DOGE seraient publiées sur le compte DOGE de X et sur le site web de DOGE
- À ce moment-là, le site web de DOGE était quasiment une page vide
- Le site a ensuite été davantage développé mercredi et jeudi, avec l’ajout des fonctions suivantes
- un miroir des publications du compte X @DOGE
- plusieurs statistiques liées aux effectifs de l’administration fédérale américaine
Indices d’un déploiement basé sur Cloudflare Pages
- Deux spécialistes du développement web ayant demandé l’anonymat estiment que doge.gov semble être construit sur un site Cloudflare Pages
- Ils ont demandé l’anonymat car ils examinaient des sites web fédéraux
- Tous deux ont déclaré que doge.gov ne semblait actuellement pas être hébergé sur des serveurs gouvernementaux
- Des tiers peuvent écrire dans la base de données utilisée par le site, et du contenu déjà écrit par des tiers s’affiche sur le site web réel
- Les deux sources ont confirmé que doge.gov récupère ses données depuis un site web Cloudflare Pages où le code réellement exécuté est déployé
1 commentaires
Avis de Hacker News
https://archive.ph/wy1Wt
U.S. Digital Service (USDS) disposait depuis longtemps, avant même d’être absorbé par DOGE, d’une expertise dans la création et le déploiement de sites web statiques pour l’administration fédérale, et faisait tout le processus publiquement.
En quelques minutes, on peut cloner l’intégralité de usds.gov réalisé avec Jekyll (2 700 ressources et documents, 150 Mo) et le redéployer en local ou sur S3, et toutes les consignes de déploiement sont documentées : https://github.com/usds/website
J’utilise plusieurs SOP tous les jours, et le principe est que même si l’on ne se souvient que du nom et que l’on oublie tout le reste, on doit pouvoir retrouver le document, se le réapproprier et obtenir à peu près le même résultat. On trouve déjà dans des documents soviétiques des années 1950 des choses proches des SOP modernes, mais les documents de l’US Navy, comme les SOP de pliage ou les SOP de douche militaire, sont particulièrement pratiques
Le Dockerfile contient
curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.shJ’aimerais parler du piratage lui-même. Quelqu’un peut-il donner une explication plus détaillée que « ils ont laissé la base de données ouverte » ? Je suis venu ici pour voir ce point traité correctement, mais je ne l’ai pas encore vu
https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
Il pouvait s’agir d’une injection SQL, ou d’identifiants exposés côté frontend
En gros, le site était hébergé sur Cloudflare, et il semble qu’on pouvait insérer de faux tweets dans le contenu enregistré sur le site, plutôt que dans le vrai fil Twitter de DOGE. Il ne semble pas y avoir eu de fuite de données réelles
Ironiquement, les enregistrements WHOIS pointent vers la CISA, c’est-à-dire la Cybersecurity and Infrastructure Security Agency. Voilà qui inspire une certaine confiance
Le site détaillant les économies avait dit qu’il afficherait les reçus d’ici la Saint-Valentin.
https://www.doge.gov/savings
Désormais, il indique « publication des reçus prévue ce week-end ! ». La prochaine étape sera sans doute « le site est prêt pour les reçus »
Beaucoup de coupes paraissent d’abord « avoir du sens », jusqu’à ce qu’on comprenne que « couper des abonnements à des magazines » signifie en réalité « priver le Consumer Financial Protection Bureau de sources d’actualité financière » ou « ne pas renouveler des abonnements à des sources d’information fiables pour des personnes qui ont vraiment besoin de comprendre l’actualité ».
Il y a aussi beaucoup de coupes dans les formations DEI/diversité, et cela ressemble moins à une guerre contre le fait de « réellement traiter les gens avec bienveillance » qu’à une attaque contre les groupes que ces formations aident les employés à mieux servir. Si l’on prend une réduction de la DEI dans SNAP, les données présentées comme venant de l’USDA indiquent que cinq groupes ethniques et une catégorie « origine inconnue » sont inscrits à SNAP. Il suffit d’imaginer comment former les gens à comprendre, interagir avec et aider des personnes d’origines ethniques diverses qui ont besoin de ce soutien.
L’empathie et la compréhension sont des compétences très utiles dans ce type de fonction, et je considère que la DEI fournit cette formation à toutes les personnes concernées. Le cliché à droite est que la DEI serait raciste et anti-Blancs, mais il oublie que les personnes non blanches peuvent elles aussi avoir besoin de cette formation. La DEI consiste à comprendre les différences, mais la droite lit cela comme « comprendre les non-Blancs » et semble s’offusquer du simple fait qu’il faille penser à d’autres cultures.
Une autre coupe concernait un budget de formation sur le genre, destinée à un bureau lié à la technologie et à l’ingénierie. Ces domaines sont notoirement dominés par les hommes depuis longtemps, donc on comprend l’utilité de ce type de formation. Ayant entendu la manière dont certaines personnes parlent et se comportent avec les femmes et les personnes queer dans la tech, je pense que cette formation est nécessaire.
Ces programmes ne cherchent pas à inculquer aux gens ce qu’ils doivent penser. Si quelqu’un est incapable d’interagir avec le monde avec empathie, une formation en entreprise ne changera pas cela. Mais elle peut indiquer comment interagir et travailler de façon productive dans un cadre professionnel. Dans une entreprise, c’est pour gagner plus d’argent ; dans l’administration, c’est pour aider davantage de personnes. Cela inclut à la fois les employés et les communautés qui reçoivent les services.
Au final, Trump fait ce qu’il avait dit, et les détails sont sinistres
Avancer vite et tout casser, version gouvernementale
DOGE semble correspondre encore mieux que Twitter à « Vox Populi, Vox Dei »
Avec des amis comme ça, qui a besoin d’ennemis ?
Il faudrait peut-être virer ces gamins et les remplacer par de vrais ingénieurs
Comme certains d’entre eux lisent probablement Hacker News, voici un conseil : rangez ChatGPT et apprenez vraiment ce que vous faites
Ils pourraient même avoir de la confiance en eux et un sens moral, ce qui serait apparemment un motif d’élimination total
Vous ne voyez pas ce qui se passe réellement ici ? Donner à une « agence gouvernementale » un nom tiré d’un mème coin, et interrompre le président assis dans le Bureau ovale, tout en gardant sa casquette
Elon veut envoyer le signal qu’il n’a aucun respect pour les institutions de notre pays. Pourquoi Trump aurait-il fait quelque chose d’aussi mesquin que de ne renommer que Mexico ? C’est un test décisif pour voir qui se soumettra aux démonstrations de pouvoir les plus absurdes. Aujourd’hui, cela s’est concrétisé lorsque l’AP s’est vu interdire l’accès au Bureau ovale et à AF1 pour ne pas avoir plié sur ce point. C’est beaucoup plus sombre qu’un simple Elon en roue libre
Peut-être que la première tour ne s’est simplement pas encore effondrée, et qu’on peut se dire que la boule de feu a disparu, que les pompiers montent les escaliers et qu’on va bientôt être secourus. Mais sous la surface, le feu brûle à blanc, et l’acier devient à chaque minute plus chaud et plus mou
Il n’est pas nécessaire de chercher bien loin pour trouver des exemples de minuscules changements apportés par des administrations passées qui ont eu d’énormes conséquences imprévues. Nous sommes en train de cuire complètement
Ils vont mettre en place des politiques protectionnistes, pousser les coupes budgétaires avant la réforme fiscale pour montrer « voilà combien nous avons économisé », puis liquider des portefeuilles de centaines de milliards de dollars en espérant que le marché monte, avant de se retirer sur une île
C’est du moins la théorie. Les États-Unis ne semblent pas vouloir reconnaître que le PCC tient entre ses mains la capacité industrielle américaine et qu’avec la planification centrale, il peut évincer à volonté le marché américain des véhicules électriques ou le tonnage naval. On part du principe que la déréglementation sera enfin la panacée aux problèmes américains, mais il est impossible de la poursuivre de façon cohérente avec la politique commerciale mondiale. On ne peut pas sanctionner la CPI tout en exigeant des autres pays qu’ils extradent des criminels vers les États-Unis, ni abandonner le Conseil des droits de l’homme tout en demandant aux autres pays de respecter notre autorité morale
Les quatre prochaines années serviront au monde civilisé à démontrer de nouveau qu’il peut se passer des États-Unis. Trump flattera les dictateurs étrangers, et les autres taperont du pied en attendant une autre primaire. Une stagnation à la 2016 est le meilleur scénario possible, et heureusement, les principaux adversaires des États-Unis traversent eux aussi une période assez difficile en ce moment. Si Trump avait occupé le même siège à l’époque de Nixon ou de Reagan, c’en était fini des États-Unis