Lanceur d’alerte : DOGE a exfiltré des données de dossiers du NLRB
(krebsonsecurity.com)- Daniel J. Berulis, architecte sécurité du NLRB, affirme que début mars, du personnel de DOGE d’Elon Musk a transféré des gigaoctets de données sensibles depuis les dossiers de l’agence, en utilisant des comptes temporaires laissant très peu de traces
- Ces comptes auraient été créés avec des droits tenant admin sur les systèmes du NLRB, leur permettant de lire, copier et modifier les données de gestion des dossiers NxGen, ainsi que de limiter la visibilité des logs, voire de les supprimer
- Après une forte hausse du trafic sortant de l’agence au petit matin du 4 mars, il aurait été établi qu’un nouveau compte avait transféré environ 10 Go, mais Berulis et ses collègues n’avaient pas les droits nécessaires pour vérifier quels fichiers étaient partis ni vers où
- Dans les 15 minutes suivant la création des nouveaux comptes DOGE, plus de 20 tentatives de connexion depuis une adresse Internet russe ont été effectuées avec des noms de compte et mots de passe valides, puis bloquées par la politique interdisant les connexions hors des États-Unis
- Le NLRB a déclaré à NPR qu’il n’y avait pas eu d’intrusion, mais Berulis dit avoir partagé des alertes Microsoft et des captures d’écran d’e-mails internes, avoir décidé de rendre l’affaire publique après l’arrêt du signalement à l’US-CERT, puis avoir vu ses droits administrateur limités
Les points clés de l’alerte interne au NLRB
- Daniel J. Berulis, architecte sécurité du NLRB, a envoyé le 14 avril une lettre d’alerte interne au Senate Select Committee on Intelligence
- L’affirmation centrale de Berulis est qu’à partir du 3 mars et pendant environ un mois, des représentants de DOGE ont exigé la création de comptes administrateur puissants dans les systèmes du NLRB, et que ces comptes ont été exemptés afin de ne pas laisser les logs réseau habituels
- Le NLRB est une petite agence fédérale indépendante chargée d’enquêter sur les plaintes liées aux pratiques de travail déloyales et de les trancher ; elle conserve des données sensibles, notamment des informations confidentielles sur des employés souhaitant se syndiquer et des informations propriétaires d’entreprises
Création des comptes DOGE et demandes de privilèges
- Selon Berulis, le 3 mars, des employés de DOGE sont arrivés au siège du NLRB dans le sud-est de Washington D.C., accompagnés de SUV noirs et d’une escorte policière
- Ils ont rencontré la direction de l’agence sans parler avec Berulis ni avec les équipes IT du NLRB
- Après la réunion, l’acting CIO du NLRB aurait demandé de ne pas suivre les procédures opérationnelles standard pour la création des comptes DOGE et de ne pas créer de logs ni d’enregistrements pour les comptes destinés aux employés de DOGE, selon Berulis
- Des rôles existants utilisables par des auditeurs existaient déjà, mais ils ne donnaient ni droits de modification ni accès non approuvé à des sous-systèmes
- Berulis affirme que proposer à DOGE d’utiliser ces comptes n’a pas été envisagé
- Les nouveaux comptes auraient disposé de droits illimités pour lire, copier et modifier les informations des bases de données du NLRB
- Limitation de la visibilité des logs
- Retard de conservation des logs
- Routage des logs vers un autre emplacement
- Suppression complète des logs
- Privilèges de plus haut niveau que ni Berulis ni son supérieur ne possédaient
Conteneur et transfert de données NxGen
- Berulis a constaté que le 3 mars, l’un des comptes DOGE avait créé un environnement virtuel opaque appelé conteneur (container)
- Un conteneur peut servir à construire et exécuter des programmes ou scripts sans exposer l’activité à l’extérieur
- Après vérification auprès de collègues, il n’y aurait eu aucun précédent d’utilisation de conteneurs dans le réseau du NLRB
- Le lendemain, le 4 mars, vers 3 h-4 h du matin, le trafic sortant de l’agence a fortement augmenté
- Après plusieurs jours d’enquête, Berulis et ses collègues ont conclu que l’un des nouveaux comptes avait transféré environ 10 Go de données depuis le système de gestion des dossiers NxGen du NLRB
- La base de données NxGen contient des informations sensibles liées aux syndicats, aux affaires juridiques en cours et aux secrets d’entreprise
- Berulis et ses collègues n’avaient pas les droits d’accès réseau nécessaires pour vérifier quels fichiers avaient été consultés ou transférés, ni où les données étaient parties
- Berulis a indiqué au Sénat ne pas savoir si les données représentaient 10 Go au total, ou si elles avaient été agrégées et compressées avant le transfert, et qu’une quantité plus importante de données avait pu fuiter
- Les sorties directes de données depuis les bases du NLRB vers l’extérieur étant très rares, une telle hausse était, selon lui, extrêmement inhabituelle
Tentatives de connexion depuis une IP russe et comptes suspects
- Berulis et ses collègues ont constaté plus de 20 tentatives de connexion depuis l’adresse Internet russe 83.149.30.186, utilisant des identifiants valides d’un compte d’employé DOGE
- Toutes ces tentatives ont été bloquées par une règle interdisant les connexions depuis l’extérieur des États-Unis
- D’après Berulis, le flux d’authentification laissait penser que la personne tentant de se connecter disposait d’un nom d’utilisateur et d’un mot de passe corrects
- Le fait que de nombreuses tentatives aient eu lieu dans les 15 minutes suivant la création des comptes par les ingénieurs DOGE a particulièrement renforcé les inquiétudes
- L’un des noms de compte utilisateur Microsoft liés à l’activité suspecte était DogeSA_2d5c3e0446f9@nlrb.microsoft.com, et Berulis estime que ce compte avait été créé dans les systèmes cloud du NLRB pour l’usage de DOGE, puis supprimé
- D’autres nouveaux comptes administrateur cloud Microsoft comprenaient des noms d’utilisateur non standard comme Whitesox, Chicago M. et Dancehall, Jamaica R
Logs manquants et bibliothèques de code externes
- Le 5 mars, Berulis a documenté la disparition d’une grande partie des logs relatifs à des ressources réseau récemment créées, ainsi que le fait que le network watcher de Microsoft Azure était réglé sur « off » et ne collectait ni n’enregistrait les données normalement
- Il a aussi découvert que quelqu’un avait téléchargé depuis GitHub trois bibliothèques de code externes qui n’étaient utilisées ni par le NLRB ni par ses prestataires
- Le fichier readme de l’un de ces bundles de code indiquait qu’il servait à faire tourner les connexions via de grands pools d’adresses Internet cloud
- Il précisait que ces pools d’adresses étaient utilisés comme proxy à « pseudo-infinite IPs » pour le web scraping et le bruteforcing
- Une attaque par force brute consiste à essayer automatiquement et rapidement de nombreuses combinaisons d’identifiants
Arrêt du signalement à l’US-CERT et décision de rendre l’affaire publique
- Selon l’alerte interne de Berulis, vers le 17 mars, il est devenu clair que le NLRB ne disposait plus des ressources ni des droits d’accès réseau nécessaires pour enquêter complètement sur l’activité anormale des comptes DOGE
- Le 24 mars, l’associate CIO de l’agence a accepté que l’affaire soit signalée à l’US-CERT
- L’US-CERT est opéré par la CISA, rattachée au Department of Homeland Security, et fournit des capacités d’intervention sur site en cas d’incident cyber aux agences fédérales et aux États
- Berulis affirme qu’entre le 3 et le 4 avril, l’associate CIO et lui ont reçu l’ordre d’arrêter le signalement et l’enquête auprès de l’US-CERT, ainsi que de ne pas rédiger ni faire avancer de rapport officiel
- C’est à ce moment-là que Berulis a décidé de rendre publics les résultats de son enquête
Démenti du NLRB et éléments fournis par Berulis
- Tim Bearese, acting press secretary du NLRB, a déclaré à NPR que DOGE n’avait jamais demandé ni obtenu d’accès aux systèmes du NLRB
- Il a indiqué à NPR qu’après que Berulis eut fait part de ses inquiétudes, l’agence avait enquêté et conclu qu’« il n’y avait pas eu d’intrusion dans les systèmes de l’agence »
- Le NLRB n’a pas répondu aux questions de KrebsOnSecurity
- Berulis a partagé des discussions internes par e-mail concernant l’activité inexpliquée de comptes identifiés comme des comptes DOGE, ainsi que des captures d’écran d’alertes de sécurité du NLRB liées à des anomalies réseau observées par Microsoft pendant cette période
Contexte distinct autour du NLRB
- CNN a rapporté le mois dernier que le président Trump avait limogé trois membres du conseil du NLRB, privant l’agence du quorum nécessaire à son fonctionnement et la paralysant de fait
- CNN a écrit que, malgré ses limites, le NLRB avait été une source de difficultés pour des personnalités riches et puissantes aux États-Unis, dont Elon Musk
- Amazon et SpaceX, l’entreprise de Musk, ont poursuivi le NLRB au sujet de plaintes déposées par celui-ci dans des litiges liés aux droits des travailleurs et à l’organisation syndicale
- Les deux entreprises soutiennent que l’existence même du NLRB est anticonstitutionnelle
- Le 5 mars, une cour d’appel américaine a rejeté à l’unanimité l’argument du camp Musk selon lequel la structure du NLRB violerait la Constitution
Restrictions d’accès après l’alerte interne
- Berulis affirme que le 14 avril, le jour où NPR a rapporté ses allégations, le deputy CIO du NLRB a envoyé un e-mail indiquant que les contrôles administrateur avaient été retirés de tous les comptes employés
- En conséquence, selon Berulis, les équipes IT du NLRB ne peuvent plus faire correctement leur travail
- Le 16 avril, un e-mail adressé à toute l’agence par Lasharn Hamilton, directrice du NLRB, indiquait que des représentants de DOGE avaient demandé une réunion, tout en répétant l’affirmation selon laquelle l’agence n’avait pas eu auparavant de contact « officiel » avec le personnel de DOGE
- Le même e-mail informait les employés que deux représentants de DOGE seraient affectés à temps partiel au NLRB pendant plusieurs mois
- Berulis dit que ses droits d’administrateur réseau ont été restreints alors qu’il rédigeait un ticket de support Microsoft pour demander des informations supplémentaires sur les comptes DOGE
- Il souhaite que les parlementaires demandent à Microsoft davantage d’informations sur ce qui s’est réellement passé avec ces comptes
Allégations de menace et situation actuelle
- Andrew P. Bakaj, l’avocat de Berulis, a indiqué aux parlementaires que le 7 avril, alors que Berulis et son équipe juridique préparaient les documents d’alerte interne, quelqu’un avait collé une note de menace sur la porte de son domicile
- Cette note aurait inclus des photos de Berulis marchant dans son quartier, prises par drone
- L’avocat affirme que la note de menace faisait explicitement référence aux informations mêmes qui devaient être soumises aux organes de supervision du Sénat
- L’auteur reste inconnu, mais l’avocat suppose seulement qu’une personne ayant accès aux systèmes du NLRB pourrait être impliquée
- Berulis dit que les réactions de ses amis, collègues et du public ont été globalement positives, et qu’il ne regrette pas sa décision de rendre l’affaire publique
- Berulis est actuellement en congé familial payé du NLRB ; il affirme que les employés de DOGE ont pris le contrôle administrateur complet, verrouillé l’accès de tout le monde, et déclaré que des droits limités seraient attribués à l’avenir selon les besoins
- Document complémentaire : le document d’alerte interne de Berulis
1 commentaires
Avis de Hacker News
Il y avait déjà eu beaucoup de discussions à ce sujet il y a une semaine
https://news.ycombinator.com/item?id=43691142
Il y a 7 jours, 1 139 points, 528 commentaires
Article lié : déclaration sous serment d’un lanceur d’alerte sur les anomalies au moment où DOGE travaillait au NLRB [pdf] - il y a 16 heures, 13 commentaires - https://news.ycombinator.com/item?id=43755298
Tout cet article se lit comme une comédie. Des comptes cachés, des tentatives de connexion depuis la Russie, et même ce passage
« Berulis a déclaré à KrebsOnSecurity que, alors qu’il créait un ticket de support auprès de Microsoft pour demander davantage d’informations sur les comptes DOGE, ses droits d’accès d’administrateur réseau ont été restreints. Il espère désormais que des élus demanderont à Microsoft davantage d’informations sur ce qui s’est réellement passé avec les comptes »
Pourquoi Microsoft dispose-t-il des informations de connexion et de compte d’une agence gouvernementale ? À ce stade, un mainframe au sous-sol, sans Windows ni Internet, vaudrait presque mieux
Les gouvernements français/allemand investissent dans des alternatives pour cette raison : https://www.techspot.com/news/107225-france-germany-unveil-d...
Si l’on repense à Guccifer 2.0, ce personnage n’a pas seulement utilisé une adresse IP russe, mais une IP attribuée au bâtiment du siège du GRU
Edward Coristine est un cas intéressant : il avait été « licencié de l’entreprise de cybersécurité Path Network en 2022 pour avoir prétendument divulgué des informations internes de l’entreprise à un concurrent » [1]. Il ressemble au candidat idéal à recruter pour un service de renseignement étranger. En plus, il utilisait aussi un compte sur un réseau social de cybercriminels [2]
Je ne comprends vraiment pas comment quelqu’un comme ça peut continuer à travailler près du gouvernement
[1] https://en.wikipedia.org/wiki/Edward_Coristine
[2] https://krebsonsecurity.com/2025/02/teen-on-musks-doge-team-...
L’un des objectifs des opérations d’influence russes est d’affaiblir la cohésion des États-Unis, comme on l’a vu dans des cas où elles ont financé des publicités d’associations citoyennes de sensibilités diverses
Il est aussi suspect que cela se produise précisément au moment où les États-Unis négociaient avec la Russie au sujet de la paix en Ukraine. Cela embarrasse le régime en train de négocier et attise les tensions avec la Russie. C’est un signe que l’affaire n’est peut-être pas si simple
Le renseignement, c’est complexe
DOGE constituera une étude de cas intéressante pendant les prochaines années. Un ami a été contacté pour un recrutement afin d’aider à reconstruire le système aérien national à partir de zéro, sous la forme d’un contractant 1099 rendant compte directement à Sean Duffy.
Le recruteur a présenté ça comme un job d’appoint à faire le soir et le week-end, avec un taux horaire catastrophique. Quand mon ami a répondu que la rémunération était très inférieure à ce qu’il gagne actuellement, on lui a rétorqué qu’il obtiendrait le prestige d’avoir travaillé chez DOGE.
Je me demande combien DOGE finira par coûter. J’espère que ce ne sera pas littéralement des dizaines de milliards de dollars ; même en tenant compte des frais de justice, etc., s’ils économisent 100 à 200 milliards de dollars, l’effet net pourrait être positif.
Ce serait dommage que cet article soit supprimé comme doublon.
L’histoire a bien été publiée deux fois. La première soumission[0] est environ 10 heures plus ancienne et n’a que 3 commentaires. Celle-ci en compte 348 au moment où j’écris. Si l’on valorise les discussions intéressantes, c’est clairement ici que se trouve le centre de gravité.
[0] https://news.ycombinator.com/item?id=43758392
Je peux donc soumettre librement sans trop m’en soucier : soit c’est fusionné avec l’article existant, soit un nouveau fil démarre. Cette fois, ça n’a pas marché ? L’URL est pourtant la même. Parfois, on trompe le détecteur de doublons avec une chaîne de requête arbitraire, mais dans ce cas c’est vraiment identique. Bizarre.
« Berulis a découvert le 3 mars que l’un des comptes DOGE avait créé un environnement virtuel opaque appelé “conteneur”. Celui-ci peut servir à créer et exécuter des programmes ou des scripts sans révéler l’activité à l’extérieur. Berulis a déclaré qu’il avait vérifié auprès de ses collègues et que personne dans le réseau du NLRB n’avait déjà utilisé de conteneurs, ce qui a rendu ce conteneur visible. »
Ce passage m’a fait une impression étrange à la lecture, pour plusieurs raisons.
Je suis surpris que cela ne relève pas clairement de la trahison.
Les contre-pouvoirs ont tous été utilisés, mais ils ont échoué.
« La Russie accède à des données américaines depuis une IP russe »
Je suis le seul à trouver que ça ressemble à quelqu’un qui essaie de fabriquer un lien avec la Russie ? Pourquoi les services de renseignement russes seraient-ils aussi amateurs ? On dirait presque qu’ils veulent se faire prendre. Cui bono ?
Au départ, que voudraient-ils faire avec les données du NLRB ? Ils ont peut-être une idée, ou peut-être pas. Le but est : « nous avons pris vos données, alors inquiétez-vous ». Se faire prendre sert aussi cet objectif.
D’après l’IP, ça pourrait être une ligne mobile. Ça ressort comme Russia, MOW, Moscow, 144700, 55.7558, 37.6173, MegaFon.
Par exemple, il est possible que l’un des particuliers sous contrat ait été en voyage en Russie pour une raison quelconque et ait utilisé son propre hotspot pour tester une connexion.
Vu le niveau d’incompétence révélé ici, ça ne me surprendrait pas. C’est pour ça qu’il faut un lanceur d’alerte et qu’une enquête s’ouvre. Maintenant, pour que l’enquête démarre vraiment, il faudra attendre des mois, voire des années, de bureaucratie et de batailles juridiques pour chaque demande d’information nécessaire. C’est extrêmement frustrant.
Le cas le plus plausible, c’est que l’ordinateur portable de l’un des amateurs shiba-doge était infecté par un virus, qu’après la création du compte les identifiants ont été aspirés automatiquement par une ferme de bots russophone, puis que le botnet a lancé quelques attaques automatisées qui ont été bloquées par le pare-feu géographique.
Pour le grand public, il suffit de relier les points pour arriver à une conclusion. On dirait que des gens ayant un certain niveau technique ont reçu des outils puissants, mais sans supervision globale de ce que leurs actions allaient entraîner.
Pourquoi cet article a-t-il disparu de la une de HN ? Il a été posté il y a 2 heures et avait 649 points.
En raison du risque de déclencher des conversations indésirables, l’article est en pratique envoyé dans le vide.