3 points par GN⁺ 2025-02-15 | 1 commentaires | Partager sur WhatsApp
  • doge.gov, qui suit l’avancement des réductions de l’administration fédérale par Elon Musk, s’avère récupérer ses données depuis une base de données modifiable par des personnes extérieures
  • Les deux personnes ayant découvert la faille ont indiqué à 404 Media que des opérations d’écriture par des tiers étaient possibles et que le contenu saisi s’affichait effectivement sur le site web
  • Un codeur a ajouté au moins deux entrées à la base de données visibles sur le site en production, avec des messages se moquant du site .gov et signalant que la base de données était ouverte
  • Le site a été déployé à la hâte après que Musk a déclaré qu’il publierait les activités de DOGE sur le compte @DOGE de X et sur le site web de DOGE ; un miroir des publications et des statistiques sur les effectifs fédéraux ont ensuite été ajoutés
  • Deux spécialistes du développement web, anonymes, estiment que doge.gov semble être construit sur Cloudflare Pages plutôt que sur des serveurs gouvernementaux, et que le code réellement exécuté y est également déployé

Une base de données doge.gov modifiable par des tiers

  • doge.gov est un site web créé pour suivre les activités de réduction de l’administration fédérale menées par Elon Musk
  • Les deux personnes ayant découvert la faille ont indiqué à 404 Media que le site récupère ses données depuis une base de données que n’importe qui peut modifier
  • Il a été confirmé que, lorsqu’une personne extérieure écrit une entrée dans la base de données, cette entrée s’affiche sur le site web en production

Des entrées injectées affichées sur le site réel

  • Un codeur a ajouté au moins deux entrées à la base de données, et celles-ci étaient visibles sur le site doge.gov réel
    • « this is a joke of a .gov site »
    • « THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro »
  • Les deux entrées étaient traitées comme des éléments affichés sur la page workforce de doge.gov

Le site web de DOGE étendu à la hâte

  • doge.gov a été déployé à la hâte après qu’Elon Musk a déclaré à des journalistes que le Department of Government Efficiency cherchait à être « aussi transparent que possible »
  • Musk a indiqué que les actions de DOGE seraient publiées sur le compte DOGE de X et sur le site web de DOGE
  • À ce moment-là, le site web de DOGE était quasiment une page vide
  • Le site a ensuite été davantage développé mercredi et jeudi, avec l’ajout des fonctions suivantes
    • un miroir des publications du compte X @DOGE
    • plusieurs statistiques liées aux effectifs de l’administration fédérale américaine

Indices d’un déploiement basé sur Cloudflare Pages

  • Deux spécialistes du développement web ayant demandé l’anonymat estiment que doge.gov semble être construit sur un site Cloudflare Pages
  • Ils ont demandé l’anonymat car ils examinaient des sites web fédéraux
  • Tous deux ont déclaré que doge.gov ne semblait actuellement pas être hébergé sur des serveurs gouvernementaux
  • Des tiers peuvent écrire dans la base de données utilisée par le site, et du contenu déjà écrit par des tiers s’affiche sur le site web réel
  • Les deux sources ont confirmé que doge.gov récupère ses données depuis un site web Cloudflare Pages où le code réellement exécuté est déployé

1 commentaires

 
GN⁺ 2025-02-15
Avis de Hacker News
  • https://archive.ph/wy1Wt

  • U.S. Digital Service (USDS) disposait depuis longtemps, avant même d’être absorbé par DOGE, d’une expertise dans la création et le déploiement de sites web statiques pour l’administration fédérale, et faisait tout le processus publiquement.
    En quelques minutes, on peut cloner l’intégralité de usds.gov réalisé avec Jekyll (2 700 ressources et documents, 150 Mo) et le redéployer en local ou sur S3, et toutes les consignes de déploiement sont documentées : https://github.com/usds/website

    • J’avais découvert l’USDS autrefois sur Hacker News et j’ai toujours trouvé cela impressionnant. Si quelqu’un avait voulu créer « DOGE » de bonne foi, c’est-à-dire non pas pour détruire l’État mais pour en améliorer l’efficacité, j’imagine que cela aurait consisté à élargir les pouvoirs et le périmètre d’une organisation comme l’USDS
    • Le fait qu’il existe une procédure opérationnelle standard (SOP) pour le contenu statique me paraît plutôt positif.
      J’utilise plusieurs SOP tous les jours, et le principe est que même si l’on ne se souvient que du nom et que l’on oublie tout le reste, on doit pouvoir retrouver le document, se le réapproprier et obtenir à peu près le même résultat. On trouve déjà dans des documents soviétiques des années 1950 des choses proches des SOP modernes, mais les documents de l’US Navy, comme les SOP de pliage ou les SOP de douche militaire, sont particulièrement pratiques
    • On déploie donc un site fédéral ciblé par des acteurs étatiques en exécutant tel quel un script shell depuis le web public ?
      Le Dockerfile contient curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.3/install.sh
    • On voit les changements récents, mais je me demande s’il est aussi possible de consulter les anciens horodatages à des fins d’archivage
  • J’aimerais parler du piratage lui-même. Quelqu’un peut-il donner une explication plus détaillée que « ils ont laissé la base de données ouverte » ? Je suis venu ici pour voir ce point traité correctement, mais je ne l’ai pas encore vu

    • Quelqu’un a déminifié le JavaScript, et il s’est avéré que plusieurs endpoints REST qu’il contenait étaient des endpoints CRUD sans validation pour le site.
      https://archive.ph/2025.02.14-132833/https://www.404media.co/anyone-can-push-updates-to-the-doge-gov-website-2/
    • D’après ma source, il existait des endpoints d’API non sécurisés permettant des modifications
    • Dire que « des tiers pouvaient écrire dans la base de données lue par le site, et que ce contenu s’affichait sur le site en production » ne suffit clairement pas pour conclure.
      Il pouvait s’agir d’une injection SQL, ou d’identifiants exposés côté frontend
    • Je mise sur l’injection SQL
    • L’article est derrière un paywall, mais en réalité cela semble limité au fil Twitter affiché sur le site.
      En gros, le site était hébergé sur Cloudflare, et il semble qu’on pouvait insérer de faux tweets dans le contenu enregistré sur le site, plutôt que dans le vrai fil Twitter de DOGE. Il ne semble pas y avoir eu de fuite de données réelles
  • Ironiquement, les enregistrements WHOIS pointent vers la CISA, c’est-à-dire la Cybersecurity and Infrastructure Security Agency. Voilà qui inspire une certaine confiance

  • Le site détaillant les économies avait dit qu’il afficherait les reçus d’ici la Saint-Valentin.
    https://www.doge.gov/savings
    Désormais, il indique « publication des reçus prévue ce week-end ! ». La prochaine étape sera sans doute « le site est prêt pour les reçus »

    • Tu veux dire comme les autres promesses de Musk, type FSD ?
    • Ils semblent avoir commencé à publier certaines données. Je ne sais pas ce qu’est le FPDS, mais tous les documents ont l’air rendus avec un thème OSX Aqua.
      Beaucoup de coupes paraissent d’abord « avoir du sens », jusqu’à ce qu’on comprenne que « couper des abonnements à des magazines » signifie en réalité « priver le Consumer Financial Protection Bureau de sources d’actualité financière » ou « ne pas renouveler des abonnements à des sources d’information fiables pour des personnes qui ont vraiment besoin de comprendre l’actualité ».
      Il y a aussi beaucoup de coupes dans les formations DEI/diversité, et cela ressemble moins à une guerre contre le fait de « réellement traiter les gens avec bienveillance » qu’à une attaque contre les groupes que ces formations aident les employés à mieux servir. Si l’on prend une réduction de la DEI dans SNAP, les données présentées comme venant de l’USDA indiquent que cinq groupes ethniques et une catégorie « origine inconnue » sont inscrits à SNAP. Il suffit d’imaginer comment former les gens à comprendre, interagir avec et aider des personnes d’origines ethniques diverses qui ont besoin de ce soutien.
      L’empathie et la compréhension sont des compétences très utiles dans ce type de fonction, et je considère que la DEI fournit cette formation à toutes les personnes concernées. Le cliché à droite est que la DEI serait raciste et anti-Blancs, mais il oublie que les personnes non blanches peuvent elles aussi avoir besoin de cette formation. La DEI consiste à comprendre les différences, mais la droite lit cela comme « comprendre les non-Blancs » et semble s’offusquer du simple fait qu’il faille penser à d’autres cultures.
      Une autre coupe concernait un budget de formation sur le genre, destinée à un bureau lié à la technologie et à l’ingénierie. Ces domaines sont notoirement dominés par les hommes depuis longtemps, donc on comprend l’utilité de ce type de formation. Ayant entendu la manière dont certaines personnes parlent et se comportent avec les femmes et les personnes queer dans la tech, je pense que cette formation est nécessaire.
      Ces programmes ne cherchent pas à inculquer aux gens ce qu’ils doivent penser. Si quelqu’un est incapable d’interagir avec le monde avec empathie, une formation en entreprise ne changera pas cela. Mais elle peut indiquer comment interagir et travailler de façon productive dans un cadre professionnel. Dans une entreprise, c’est pour gagner plus d’argent ; dans l’administration, c’est pour aider davantage de personnes. Cela inclut à la fois les employés et les communautés qui reçoivent les services.
      Au final, Trump fait ce qu’il avait dit, et les détails sont sinistres
  • Avancer vite et tout casser, version gouvernementale

  • DOGE semble correspondre encore mieux que Twitter à « Vox Populi, Vox Dei »

  • Avec des amis comme ça, qui a besoin d’ennemis ?

  • Il faudrait peut-être virer ces gamins et les remplacer par de vrais ingénieurs
    Comme certains d’entre eux lisent probablement Hacker News, voici un conseil : rangez ChatGPT et apprenez vraiment ce que vous faites

    • De vrais ingénieurs voudraient une rémunération et des horaires de travail raisonnables, et ne prendraient pas non plus leur patron pour un dieu vivant
      Ils pourraient même avoir de la confiance en eux et un sens moral, ce qui serait apparemment un motif d’élimination total
    • Le fait qu’ils soient tous si jeunes explique au moins pourquoi je n’ai même pas obtenu d’entretien. À 28 ans, j’étais déjà trop vieux pour y être embauché
    • Ce ne sont pas des professionnels consciencieux, mais des idéologues
    • Il faudrait quelqu’un qui remplisse trois conditions : être un bon ingénieur expérimenté, n’avoir aucune éthique, et accepter une rémunération inférieure au prix du marché pour un bon ingénieur expérimenté sans éthique
  • Vous ne voyez pas ce qui se passe réellement ici ? Donner à une « agence gouvernementale » un nom tiré d’un mème coin, et interrompre le président assis dans le Bureau ovale, tout en gardant sa casquette
    Elon veut envoyer le signal qu’il n’a aucun respect pour les institutions de notre pays. Pourquoi Trump aurait-il fait quelque chose d’aussi mesquin que de ne renommer que Mexico ? C’est un test décisif pour voir qui se soumettra aux démonstrations de pouvoir les plus absurdes. Aujourd’hui, cela s’est concrétisé lorsque l’AP s’est vu interdire l’accès au Bureau ovale et à AF1 pour ne pas avoir plié sur ce point. C’est beaucoup plus sombre qu’un simple Elon en roue libre

    • Exact. C’est un coup d’État fasciste mené par des néonazis
    • C’est bien, bien pire que le 11-Septembre
      Peut-être que la première tour ne s’est simplement pas encore effondrée, et qu’on peut se dire que la boule de feu a disparu, que les pompiers montent les escaliers et qu’on va bientôt être secourus. Mais sous la surface, le feu brûle à blanc, et l’acier devient à chaque minute plus chaud et plus mou
      Il n’est pas nécessaire de chercher bien loin pour trouver des exemples de minuscules changements apportés par des administrations passées qui ont eu d’énormes conséquences imprévues. Nous sommes en train de cuire complètement
    • Exactement. Ils fabriquent un truc absurde, l’appellent officiel, puis vous interdisent l’accès si vous ne suivez pas, en prétendant que vous diffusez des mensonges. Dictature 101
    • L’esprit d’entreprise américain a nourri une paranoïa et veut sa revanche
      Ils vont mettre en place des politiques protectionnistes, pousser les coupes budgétaires avant la réforme fiscale pour montrer « voilà combien nous avons économisé », puis liquider des portefeuilles de centaines de milliards de dollars en espérant que le marché monte, avant de se retirer sur une île
      C’est du moins la théorie. Les États-Unis ne semblent pas vouloir reconnaître que le PCC tient entre ses mains la capacité industrielle américaine et qu’avec la planification centrale, il peut évincer à volonté le marché américain des véhicules électriques ou le tonnage naval. On part du principe que la déréglementation sera enfin la panacée aux problèmes américains, mais il est impossible de la poursuivre de façon cohérente avec la politique commerciale mondiale. On ne peut pas sanctionner la CPI tout en exigeant des autres pays qu’ils extradent des criminels vers les États-Unis, ni abandonner le Conseil des droits de l’homme tout en demandant aux autres pays de respecter notre autorité morale
      Les quatre prochaines années serviront au monde civilisé à démontrer de nouveau qu’il peut se passer des États-Unis. Trump flattera les dictateurs étrangers, et les autres taperont du pied en attendant une autre primaire. Une stagnation à la 2016 est le meilleur scénario possible, et heureusement, les principaux adversaires des États-Unis traversent eux aussi une période assez difficile en ce moment. Si Trump avait occupé le même siège à l’époque de Nixon ou de Reagan, c’en était fini des États-Unis