- Les documents transmis au Congrès et aux organismes de contrôle par Daniel Berulis, employé IT du NLRB, indiquent qu’après l’accès d’ingénieurs de DOGE aux systèmes internes, des données sensibles liées au travail pourraient avoir quitté l’agence, avec des indices de dissimulation dans les journaux
- DOGE aurait demandé un accès de plus haut niveau, dit tenant owner level, et les documents publics ainsi que des échanges internes font état d’activités sans journalisation, de désactivation d’outils de surveillance et de suppression de traces d’accès
- Berulis affirme avoir constaté, dans le système de gestion des dossiers NxGen et sur le réseau, un pic d’environ 10 Go de transferts externes, des comptes DOGE supprimés, l’utilisation de conteneurs, la création et la suppression de SAS tokens, la désactivation du MFA et une forte hausse des requêtes DNS
- Le NLRB nie les demandes d’accès et l’accès aux systèmes par DOGE, et affirme qu’il n’y a pas eu d’intrusion, mais les documents publiés incluent des données forensiques et des échanges ; plusieurs experts en cybersécurité et en droit du travail estiment qu’une enquête plus poussée est nécessaire
- L’exposition d’informations sur l’organisation syndicale, des dossiers en cours, des témoignages et des données commerciales d’entreprises pourrait nuire aux travailleurs, aux syndicats comme aux entreprises ; les inquiétudes de conflit d’intérêts grandissent aussi, Musk et SpaceX étant impliqués dans des affaires devant le NLRB
Le NLRB et les soupçons d’accès par DOGE
- Le National Labor Relations Board (NLRB) est une agence fédérale indépendante qui enquête sur les plaintes pour pratiques déloyales de travail et les tranche ; elle conserve des données sensibles, notamment des informations confidentielles liées à la syndicalisation des employés et des informations commerciales propriétaires d’entreprises
- Début mars, une équipe de conseillers appartenant à l’initiative Department of Government Efficiency (DOGE) du président Trump est arrivée au siège du NLRB, dans le sud-est de Washington D.C.
- Les employés de DOGE appartiennent à une organisation de fait dirigée par Elon Musk, conseiller de la Maison-Blanche et CEO d’entreprises technologiques ; elle affirme examiner les données des agences pour vérifier le respect des politiques de l’administration, réduire les coûts et maximiser l’efficacité
- Selon les divulgations officielles de Berulis en tant que lanceur d’alerte, ses interviews et des communications internes, les équipes techniques du NLRB se sont alarmées en constatant une forte augmentation des données sortant de l’agence après que des ingénieurs de DOGE ont obtenu des droits d’accès
- Ces données pourraient contenir des informations sur des syndicats, des procédures juridiques en cours et des secrets d’entreprise ; quatre experts en droit du travail estiment que de telles données ne devraient pas quitter le NLRB et qu’elles n’ont aucun lien avec l’efficacité gouvernementale ou la réduction des dépenses
Modalités d’accès et indices de dissimulation des journaux
- Les ingénieurs de DOGE ont demandé à l’avance des informations sur les logiciels, le matériel, les langages de programmation et les applications du NLRB, et ont identifié que l’agence utilisait des connexions entre une infrastructure cloud commerciale et des systèmes cloud gouvernementaux
- Selon les documents publiés par Berulis, les employés de DOGE ont exigé des comptes tenant owner level, le niveau de privilège le plus élevé dans les systèmes informatiques internes de l’agence indépendante
- Ce niveau donne un accès pratiquement illimité permettant de lire, copier et modifier les données
- Les documents indiquent qu’un employé IT a proposé d’activer les comptes d’une manière permettant le suivi des activités conformément à la politique de sécurité du NLRB, mais qu’on lui a demandé de ne pas entraver DOGE
- Des experts en cybersécurité estiment qu’un mode d’accès ne laissant pas de journaux d’activité entre en conflit avec les recommandations du NIST Cybersecurity Framework, de la CISA, du FBI et de la NSA
- Jake Braun affirme que le gouvernement achète des technologies de surveillance des menaces internes afin de détecter et empêcher en amont les fuites de données sensibles
- Selon Berulis, le budget du NLRB n’a pas été suffisant depuis des années pour acheter ce type d’outils de détection des menaces internes
NxGen et le nom d’un dépôt GitHub
- Berulis a découvert, sur le compte GitHub public de l’ingénieur DOGE Jordan Wick, un dépôt nommé NxGenBdoorExtract
- Wick a rendu ce dépôt privé avant que Berulis ne puisse approfondir ses recherches
- NPR n’a pas pu récupérer le code du dépôt
- Plusieurs experts en cybersécurité estiment que le nom du dépôt suggère à lui seul la possibilité qu’une backdoor, « Bdoor », ait été conçue pour extraire des fichiers depuis NxGen, le système interne de gestion des dossiers du NLRB
- NxGen est un système de gestion des dossiers conçu en interne pour le NLRB
- De nombreux dossiers du NLRB finissent par être rendus publics, mais NxGen contient des données propriétaires de concurrents d’entreprises, des informations personnelles sur des membres de syndicats ou des employés participant à des votes de syndicalisation, ainsi que des témoignages dans des affaires en cours
- L’accès à ces données est protégé par plusieurs lois fédérales, dont le Privacy Act
- L’un des ingénieurs ayant créé NxGen estime que la combinaison de la suppression des journaux et d’un accès au niveau tenant est l’élément le plus préoccupant
Indices forensiques suggérant une exfiltration de données
- Selon les documents publiés par Berulis, après le départ de DOGE du NLRB, au moins un compte DOGE a été créé puis supprimé dans le système cloud du NLRB basé sur Microsoft
- Le nom du compte est présenté comme
DogeSA_2d5c3e0446f9@nlrb.microsoft.com
- Le nom du compte est présenté comme
- Les ingénieurs de DOGE ont installé des conteneurs
- Les conteneurs ne sont pas en soi une technologie suspecte, mais ils permettent d’exécuter des programmes sans laisser de traces d’activité après leur suppression et sans exposer leur contenu à d’autres parties du réseau
- Berulis affirme avoir vu des données sortir du « nucleus » du système de gestion des dossiers NxGen, puis avoir constaté également un important pic de trafic sortant sur le réseau lui-même
- Berulis explique que les données envoyées vers l’extérieur étaient presque toutes des fichiers texte et représentaient environ 10 Go
- L’ensemble des données historiques du NLRB dépasse 10 To
- On ne sait pas quels fichiers ont été copiés ou sortis, s’ils ont été compressés ou agrégés, ou si seuls certains fichiers ont été récupérés via des requêtes ciblées
- Berulis a confirmé qu’aucun projet de stockage de fichiers de sauvegarde ni de migration de données n’avait lieu au NLRB cette semaine-là
- Les journaux de surveillance du trafic externe ont disparu, et certains travaux réseau ainsi que l’exfiltration de données ne comportaient aucune information d’attribution hormis « deleted account », selon les documents publiés
Contrôles de sécurité désactivés et soupçons de tunneling DNS
- Berulis affirme qu’un utilisateur inconnu a émis puis supprimé un SAS token, une clé d’accès de haut niveau permettant d’accéder à un compte de stockage
- Il précise qu’il n’existait ensuite plus de moyen de suivre ce qui avait été fait avec ce token
- D’autres anomalies constatées incluent l’affaiblissement de plusieurs contrôles de sécurité
- Le contrôle bloquant les connexions depuis des appareils mobiles non sécurisés ou non approuvés a été désactivé
- Une interface a été exposée à l’Internet public
- Les systèmes internes d’alerte et de surveillance ont été désactivés manuellement
- L’authentification multifacteur (MFA) a été désactivée
- Un « user roster » contenant les contacts d’avocats externes ayant travaillé avec le NLRB a été exporté
- Berulis a identifié cinq téléchargements PowerShell dans le système et s’est aussi intéressé à des bibliothèques de code pouvant servir à automatiser et dissimuler une exfiltration de données
requests-ip-rotatorest décrit comme un outil permettant de générer un très grand nombre d’adresses IPbrowserlessest décrit comme un outil d’automatisation utilisé par les développeurs web- Les deux dépôts ont été identifiés comme des dépôts étoilés dans les archives du compte GitHub de Jordan Wick
- Berulis évoque la possibilité d’un tunneling DNS, en se fondant sur le fait que les requêtes DNS ont augmenté d’un facteur 1 000 parallèlement à l’exfiltration de données
- Le tunneling DNS consiste à découper les données en petits fragments et à les envoyer vers l’extérieur au moyen de requêtes et de réponses DNS
- Un chercheur en threat intelligence indique que des acteurs de menace russes ont déjà utilisé des méthodes similaires dans des systèmes du gouvernement américain, tout en précisant qu’il est difficile de vérifier pleinement l’incident sans accès complet aux systèmes du NLRB
- Russ Handorf, qui a travaillé sur la cybersécurité au FBI, estime que l’ensemble des éléments est préoccupant, mais qu’il est impossible d’affirmer qui en est responsable avant la fin d’une enquête
Tentatives de connexion depuis une IP russe et surface d’attaque externe
- Selon les documents publiés par Berulis, des tentatives de connexion depuis une adresse IP russe ont eu lieu quelques minutes après l’accès de DOGE aux systèmes du NLRB
- Ces tentatives utilisaient l’un des comptes DOGE nouvellement créés, et Berulis affirme que le nom d’utilisateur et le mot de passe étaient corrects
- Les tentatives de connexion ont été bloquées
- Les experts en cybersécurité estiment que quelques tentatives de connexion échouées depuis une IP russe ne constituent pas, à elles seules, une preuve déterminante
- Toutefois, combinées à l’ensemble du déroulé des activités, elles font craindre que des adversaires étrangers cherchent déjà des points d’entrée dans les systèmes gouvernementaux que des ingénieurs de DOGE auraient pu exposer
- Handorf explique que si les ingénieurs de DOGE ont laissé ouverts des points d’accès au réseau, il devient plus facile pour des espions ou des criminels de s’introduire dans leur sillage et de voler des données
- Ann Lewis, ancienne directrice des Technology Transformation Services de la GSA, affirme que le principe du moindre privilège est un concept fondamental de cybersécurité pour protéger l’accès aux données de grande valeur et aux actifs critiques, et pour réduire les erreurs utilisateur comme les actes malveillants
Les dénégations du NLRB et la position de la Maison-Blanche
- Tim Bearese, porte-parole par intérim du NLRB, déclare que le NLRB n’a pas autorisé DOGE à accéder à ses systèmes et que DOGE n’a pas non plus demandé cet accès
- Bearese affirme qu’après les préoccupations soulevées par Berulis, l’agence a mené une enquête et conclu qu’il n’y avait pas eu de compromission de ses systèmes
- La porte-parole de la Maison-Blanche Anna Kelly indique qu’il était déjà connu que le président Trump avait signé un décret permettant de recruter des employés de DOGE dans les agences et de coordonner le partage de données
- Kelly affirme que les équipes DOGE ont travaillé de façon ouverte et transparente pour éliminer le gaspillage, la fraude et les abus dans toute l’administration
- Les documents publiés par Berulis incluent des données forensiques et des échanges avec des collègues ; ils ont été examinés par 11 experts techniques issus d’autres agences gouvernementales et du secteur privé
- NPR a contacté plus de 30 sources dans l’administration, le secteur privé, le mouvement syndical, la cybersécurité et les forces de l’ordre ; parmi elles, 11 personnes connaissant directement le fonctionnement interne d’agences gouvernementales ou du Congrès partagent les inquiétudes sur la possibilité que DOGE ait exfiltré des données sensibles
Impact de l’exposition des données liées au travail
- Le système de gestion des dossiers du NLRB contient des affaires de travail en cours, des listes de militants syndicaux, des notes internes de dossiers, des informations personnelles comme des numéros de Social Security et des adresses, ainsi que des données propriétaires d’entreprises non publiques
- Des experts en droit du travail disent ne voir aucune raison légitime qui obligerait DOGE à sortir ces données de gestion des dossiers de l’agence pour résoudre des questions d’efficacité
- Kate Bronfenbrenner craint que le simple fait de savoir que ces données ont pu être consultées dissuade des travailleurs de témoigner devant le NLRB
- Sharon Block affirme que si des copies des données parviennent à des entreprises, elles pourraient être utilisées de manière abusive pour licencier des employés ayant participé à des activités de syndicalisation ou pour créer des listes noires d’organisateurs
- De tels actes sont illégaux au regard du droit fédéral du travail appliqué par le NLRB
- Les entreprises peuvent elles aussi être victimes
- Dans le cadre d’affaires de pratiques déloyales de travail, les documents d’enquête peuvent contenir des plans d’affaires internes, des structures organisationnelles et des secrets commerciaux d’entreprises
- Ces informations peuvent avoir de la valeur pour des concurrents, des régulateurs ou d’autres acteurs extérieurs
Musk, SpaceX et inquiétudes de conflit d’intérêts
- Des experts en droit du travail estiment que le conflit d’intérêts est évident dans une situation où Elon Musk, ses entreprises, d’anciens employés et collègues obtiennent des postes gouvernementaux et des droits d’accès aux données
- Dans une interview sur Fox News, Trump et Musk ont déclaré que Musk se récuserait lui-même pour les sujets concernant ses propres entreprises
- Cependant, DOGE a obtenu un accès de haut niveau à de nombreuses données pouvant bénéficier à Musk, et rien ne prouve l’existence de pare-feu empêchant l’usage abusif de ces données
- Plusieurs affaires entre SpaceX et le NLRB sont en cours
- Après que d’anciens employés de SpaceX ont déposé plainte auprès du NLRB, les avocats de SpaceX ont intenté une action en justice contre le NLRB
- Ils soutiennent que la structure du NLRB est inconstitutionnelle
- Sharon Block, de Harvard Law, craint que si DOGE a effectivement obtenu toutes les données, Musk ait pu accéder à des informations sur les dossiers que le gouvernement prépare contre lui
- L’expert en cybersécurité Bruce Schneier a déjà exprimé la crainte que xAI de Musk puisse utiliser les données collectées par DOGE pour entraîner des algorithmes
Schémas similaires observés dans d’autres agences
- Dans plus de 10 procédures en cours devant des tribunaux fédéraux, des juges ont demandé à DOGE d’expliquer pourquoi il lui fallait un accès étendu à des données sensibles d’Américains, dont des dossiers Social Security, des dossiers médicaux et des informations fiscales
- Dans l’affaire du système de paiement du Treasury Department, la juge fédérale Jeannette Vargas a bloqué l’accès de DOGE le 21 février, estimant qu’il existait une possibilité réelle que des informations sensibles aient déjà été partagées en dehors du Treasury
- Un collaborateur de la minorité démocrate de la House Oversight Committee affirme que la commission dispose de plusieurs rapports vérifiables selon lesquels DOGE a extrait de plusieurs agences des données gouvernementales sensibles à des fins inconnues
- Erie Meyer, ancienne CTO du CFPB, affirme que des employés de DOGE ont accordé un accès « God-tier » aux systèmes du CFPB, désactivé les journaux d’audit et d’événements, et placé en congé administratif les experts en cybersécurité chargés de la détection des menaces internes
- Un employé d’une agence relevant du Interior Department affirme que, malgré le déclenchement d’alertes de menace interne, l’équipe cyber a reçu l’ordre d’attendre et n’a pas pu bloquer l’accès de nouveaux utilisateurs
- Le 13 mars, 46 anciens hauts responsables de la GSA ont déclaré dans une lettre ouverte que des systèmes IT hautement sensibles étaient mis en danger et que des informations sensibles étaient téléchargées vers des sources externes non vérifiées
Décret et élargissement du partage d’informations
- Quelques semaines après l’entrée d’employés de DOGE dans des bâtiments fédéraux, Trump a publié un décret appelant à élargir le partage de données en supprimant les « silos d’information »
- Kel McClanahan, de National Security Counselors, estime que ce décret semble chercher à fournir une justification supplémentaire aux ingénieurs de DOGE pour accéder à des données fédérales sensibles et les combiner
- McClanahan rappelle que le Privacy Act a été créé il y a 50 ans pour répondre au problème d’un gouvernement fédéral détenant trop d’informations sur les citoyens ordinaires, et que les silos d’information existent pour une raison
- Une ancienne source gouvernementale affirme comprendre que DOGE continue récemment de visiter des agences fédérales dans tout le pays, notamment la Securities and Exchange Commission
- On ignore combien de données sensibles ont été supprimées, collectées ou combinées à l’échelle de l’administration
La divulgation de Berulis et les demandes d’enquête
- Berulis a décidé de s’exprimer publiquement après avoir eu le sentiment que les tentatives d’enquête interne étaient bloquées et qu’on cherchait à le faire taire
- Selon une lettre jointe de son avocat Andrew Bakaj, un imprimé avait été collé sur la porte du domicile de Berulis ; il contenait des messages menaçants, des informations personnelles sensibles et des photos de promenade qui semblaient avoir été prises par drone
- L’expéditeur n’est pas connu
- Les forces de l’ordre enquêtent sur cette lettre
- Berulis estime qu’une agence disposant de davantage de ressources, comme la CISA ou le FBI, devrait enquêter sur les activités suspectes
- Le NLRB indique qu’il coopérera à toute enquête découlant de la divulgation faite par Berulis au Congrès
- Berulis demande de la transparence aux ingénieurs de DOGE, affirmant que s’ils n’ont rien à cacher, ils ne devraient pas supprimer de journaux ni agir discrètement, et qu’ils devraient le prouver s’il s’agit d’un malentendu
1 commentaires
Commentaires sur Hacker News
C’est cette partie qui est vraiment critique : pour un véritable audit d’efficacité, il peut être nécessaire de disposer de nombreux droits d’accès afin de rechercher des traces d’activités dissimulées, mais il n’y a absolument aucune raison de cacher les traces de ce que l’on a soi-même fait.
https://en.wikipedia.org/wiki/Inspector_general#United_State...
https://en.wikipedia.org/wiki/2025_dismissals_of_inspectors_...
Il existe aussi un organisme spécifiquement chargé des audits.
https://en.wikipedia.org/wiki/Government_Accountability_Offi...
Le recours au secteur privé pour chercher des gains d’efficacité n’est pas nouveau non plus.
https://en.wikipedia.org/wiki/Grace_Commission
https://en.wikipedia.org/wiki/Brownlow_Committee
https://en.wikipedia.org/wiki/Hoover_Commission
https://en.wikipedia.org/wiki/National_Partnership_for_Reinv...
Si l’article est exact, une tentative de connexion avec les bons identifiants a eu lieu depuis une source russe juste après la création du compte. Si c’est vrai, c’est énorme, et il est aussi possible que l’ordinateur portable de quelqu’un ait été compromis.
Vu de l’extérieur des États-Unis, si ce n’est pas déjà fait, les entreprises privées, les chercheurs en sécurité et le grand public devraient commencer à traiter les agences gouvernementales américaines comme des hameçonneurs ou des escrocs, c’est-à-dire comme une menace pour les données personnelles et la sécurité.
Si une agence gouvernementale a été compromise via des backdoors logicielles ou d’autres mécanismes, il faut considérer que toutes les données et tous les systèmes auxquels cette agence a accès sont également compromis.
Les gens ne sont plus que des ressources humaines à commercialiser. L’ad tech devient une agence de renseignement privée. Les personnes ne sont pas des personnes et n’ont pas de droits. Si vous n’arrivez pas à vous libérer, vous et vos proches, du lavage de cerveau néolibéral.
La triste réalité, c’est que la moitié de la population américaine voit le NLRB comme un fardeau pour les petites entreprises. Comme les règles changent souvent, les coûts de conformité et la complexité augmentent pour ceux qui n’ont pas beaucoup de ressources juridiques [1].
Et cette même moitié ne croit rien de ce que dit npr.org. Il faut comprendre cette dynamique pour saisir l’état actuel du débat public américain.
[1] https://edworkforce.house.gov/news/documentsingle.aspx?Docum...
Ce n’est pas vraiment choquant, mais ce qui est encore plus frustrant, c’est qu’il ne se passera probablement rien. Je n’ai aucune confiance dans le fait que cela sera réglé ; au final, ça se terminera sans doute avec les mêmes cris de fake news.
On a déjà l’impression que le renard est dans le poulailler.
Si vous lancez une campagne dans votre État, vous obtiendrez probablement une réponse assez vite. Ils sont très sensibles à leur popularité, et la concurrence compte beaucoup.
J’ai lu ça sur BSky
Il y a une partie des documents de divulgation protégée du lanceur d’alerte
https://bsky.app/profile/mattjay.com/post/3ln2dgoksce2e
On dirait que les employés d’Elon sont entrés et ont tout copié. Ici, il s’agit du NLRB, donc il y a beaucoup de données sensibles, mais n’importe quel ministère ou agence gouvernementale doit contenir une quantité énorme de données sensibles. Et il semble qu’ils les aient envoyées quelque part. Avant cela, on dirait qu’ils ont désactivé toute la journalisation et de nombreuses fonctions de sécurité pour masquer leurs traces
C’est grave. Ces gens ressemblent à des acteurs malveillants disposant de privilèges de niveau étatique, avec accès à tout
En plus, ce sont de jeunes profils, ils n’ont pas l’air de bien connaître la sécurité, et il semble aussi qu’ils aient été piratés par un APT russe étatique professionnel
Je pense qu’il faut essayer de comprendre ce qu’est NxGenBdoorExtract. NxGen est un système destiné au NLRB, et Bdoor fait fortement penser à une backdoor
Il a supprimé le Git ou l’a passé en privé. Introuvable aussi sur archive.org
https://oversightdemocrats.house.gov/sites/evo-subsites/demo...
Si le propriétaire le rend à nouveau public ou le restaure, cela pourrait mettre fin à toutes les spéculations
https://archive.ph/fUa5Q
Dans le contexte tel que je le comprends, les employés de DOGE sont tous des employés temporaires du gouvernement et leur contrat expire vers juin. En supposant qu’ils respectent la loi — ce qui est une grosse hypothèse — ils sont en train de remuer plusieurs agences dans une urgence extrême pour plaire à Elon ou à des gens au pouvoir
Il faut absolument résister en gardant cette échéance en tête
DOGE bénéficie du soutien des US Marshals et du président. Il est possible de résister, mais au bout du compte, on se fera simplement couper l’accès
Il paraît que les employés de DOGE ont exigé le plus haut niveau d’accès, et que lorsqu’un employé IT a proposé une procédure simplifiée pour activer les comptes d’une manière permettant de tracer l’activité conformément à la politique de sécurité du NLRB, on lui a dit de ne pas se mettre en travers du chemin de DOGE
Mais est-ce qu’ils ont réellement désactivé la journalisation ? Je ne vois pas comment on fait ça. Quelqu’un sait de quel système de contrôle d’accès il s’agit ?
Cela dit, plus loin dans l’article, il est aussi indiqué que Berulis a découvert des contrôles et des systèmes de surveillance précis qui étaient effectivement désactivés
Si des élections ont de nouveau lieu à l’avenir et que des personnes plus normales et qualifiées entrent en fonction, le ministère de la Justice va être débordé pour des décennies
Le lanceur d’alerte et son avocat ont été interviewés sur CNN et MSNBC
CNN : https://www.youtube.com/watch?v=TsqgXfrSksI