Le code d’un ingénieur de DOGE étaye les accusations d’un lanceur d’alerte du NLRB
(krebsonsecurity.com)- L’architecte sécurité du NLRB, Daniel J. Berulis, affirme que des comptes DOGE ont extrait plus de 10 Go de données de fichiers d’affaires sensibles au début du mois de mars, et qu’un des lots de code GitHub téléchargés s’est révélé très similaire au code de l’employé de DOGE Marko Elez
- Les comptes créés pour DOGE disposaient de privilèges de tenant admin et auraient été exemptés de journalisation réseau, ce qui leur aurait donné un niveau d’accès permettant d’accéder aux données, de les copier, de les modifier et même de limiter la visibilité des logs, selon Berulis
- La description du code en question explique comment créer des « pseudo-infinite IPs » à partir du vaste pool d’IP d’AWS API Gateway afin de les utiliser pour le web scraping et des attaques par force brute ; elle est liée à
requests-ip-rotatorsur GitHub ainsi qu’àasync-ip-rotator, forké par Elez en janvier 2025 - Les archives GitHub téléchargées avec ce code incluaient aussi Integuru, un outil de rétro-ingénierie d’API de sites web, et Browserless, un navigateur headless pour l’automatisation de tâches web, ce qui s’inscrit également dans un contexte de scraping et d’automatisation
- Les fichiers d’affaires du NLRB contiennent des informations sur des employés souhaitant se syndiquer ainsi que des documents propriétaires d’entreprises ; Berulis craint que, si ces données parvenaient à des sociétés, elles leur procurent un avantage indu dans des conflits sociaux en cours
Les accusations du lanceur d’alerte du NLRB
- L’architecte sécurité du NLRB, Daniel J. Berulis, affirme que des responsables de DOGE ont exfiltré plusieurs gigaoctets de données depuis les fichiers d’affaires sensibles de l’agence au début du mois de mars
- Selon le signalement de Berulis, des responsables de DOGE ont rencontré la direction du NLRB le 3 mars pour exiger la création de plusieurs comptes tenant admin très puissants
- Il aurait été demandé que ces comptes soient exclus de la journalisation réseau, laquelle conserve normalement un historique détaillé des activités
- Ces nouveaux comptes DOGE auraient disposé de droits illimités pour lire, copier et modifier les informations de la base de données du NLRB
- Ils auraient aussi eu la capacité de limiter la visibilité des logs, d’en retarder la conservation, de les rediriger ailleurs ou de les supprimer entièrement
- Berulis affirme que les comptes DOGE se sont vu attribuer des privilèges au plus haut niveau, auxquels ni lui ni ses supérieurs n’avaient accès
Téléchargement de code GitHub et outil de rotation d’IP
- Berulis dit avoir découvert qu’un des comptes DOGE avait téléchargé trois bibliothèques de code GitHub externes jamais utilisées auparavant ni par le NLRB ni par ses prestataires
- Le README de l’un de ces lots de code explique qu’il permet de créer des « pseudo-infinite IPs » en utilisant le vaste pool d’IP d’AWS API Gateway comme proxy pour le web scraping et les attaques par force brute
- Une recherche de la même formulation renvoie au dépôt GitHub requests-ip-rotator de l’utilisateur Ge0rg3, présenté comme permettant de contourner les limitations de requêtes fondées sur l’adresse IP
- La description indique qu’il s’agit d’une « Python library » permettant de générer des « pseudo-infinite IPs » pour le web scraping et le bruteforcing en exploitant le « large IP pool » d’AWS API Gateway comme proxy
- Le code de Ge0rg3 est présenté comme de l’open source que chacun peut copier et réutiliser à des fins non commerciales
Lien avec async-ip-rotator de Marko Elez
- Il existe un nouveau projet dérivé de
requests-ip-rotatorde Ge0rg3, nommé async-ip-rotator, auquel l’employé de DOGE Marko Elez a contribué sur GitHub en janvier 2025 - La formulation du README du fichier GitHub que, selon le lanceur d’alerte, un utilisateur de DOGE a téléchargé reprend la même description que le code basé sur le fork d’Elez
- Elez est présenté comme l’un des principaux membres de DOGE ayant eu accès au système central de paiements du Treasury Department
- Il a travaillé pour plusieurs entreprises d’Elon Musk, dont X, SpaceX et xAI
- The Wall Street Journal a lié Elez à des publications sur les réseaux sociaux défendant le racisme et l’eugénisme
- Elez a démissionné après la controverse, puis a été réembauché après le soutien du président Donald Trump et du vice-président JD Vance
- Selon Politico, Elez est actuellement conseiller au Labor Department et détaché auprès de plusieurs agences, dont le Department of Health and Human Services
- Politico, citant des documents judiciaires, rapporte qu’au début de son passage au Treasury, Elez a transmis à des responsables de la General Services Administration un tableur contenant des noms et des informations de paiement, en violation des règles de sécurité de l’information
Les autres outils téléchargés
- Berulis désigne Integuru et Browserless comme les deux autres archives GitHub téléchargées par des employés de DOGE sur les systèmes du NLRB
- Integuru est un framework logiciel conçu pour faire de la rétro-ingénierie des interfaces de programmation d’applications (API) utilisées par les sites web pour récupérer des données
- Browserless est un navigateur headless destiné à l’automatisation de tâches web
- web scraping
- tests automatisés
- tâches nécessitant plusieurs pools de navigateurs
Critiques sur la qualité du code et suppression du dépôt
- Le 6 février, quelqu’un a publié une longue critique sur la page GitHub Issues de
async-ip-rotatord’Elez, qualifiant ce code d’« insecure, unscalable and a fundamental engineering failure » - Cette critique soulignait que, si ce code n’était qu’un simple side project, il ne s’agissait que de mauvais code, mais que si une implémentation similaire avait été déployée dans un environnement traitant des données sensibles, il faudrait l’auditer immédiatement
- Après la publication de l’article, le dépôt de code d’Elez a été supprimé
- Une version archivée du dépôt supprimé reste disponible ici
Sensibilité des données du NLRB et impact sur les conflits du travail
- Le signalement de Berulis affirme que les comptes DOGE ont téléchargé plus de 10 Go depuis la base de données des fichiers d’affaires du NLRB
- Cette base contient un grand volume d’archives sensibles, notamment des informations sur des salariés souhaitant se syndiquer et des documents commerciaux propriétaires d’entreprises
- Berulis explique s’être exprimé publiquement parce que ses supérieurs lui ont demandé, contrairement à un accord antérieur, de ne pas signaler l’affaire à US-CERT
- Si le transfert non autorisé de données est avéré, Berulis craint qu’il ne procure un avantage indu aux défendeurs dans plusieurs conflits du travail en cours devant le NLRB
- Selon lui, toute entreprise obtenant les données du dossier bénéficierait d’un avantage indu
- Il affirme que des entreprises pourraient identifier des employés et des organisateurs syndicaux, puis les licencier sans en indiquer la raison
Situation juridique autour du NLRB
- Le NLRB est de fait entravé, ayant perdu le quorum nécessaire à son fonctionnement après que le président Trump a limogé trois membres du conseil
- Amazon et SpaceX, l’entreprise d’Elon Musk, poursuivent le NLRB au sujet de plaintes déposées par l’agence dans des conflits liés aux droits des travailleurs et à l’organisation syndicale
- Les deux entreprises soutiennent en substance que l’existence même du NLRB est inconstitutionnelle
- Le 5 mars, une cour d’appel fédérale américaine a rejeté à l’unanimité l’argument de Musk selon lequel la structure du NLRB violerait la Constitution
- KrebsOnSecurity indique avoir sollicité des commentaires du NLRB et de DOGE, et précise qu’un suivi sera publié en cas de réponse
1 commentaires
Commentaires sur Hacker News
Le code de Ge0rg3 était open source au sens où n’importe qui pouvait le copier et le réutiliser à des fins non commerciales, et « async-ip-rotator », mis en ligne sur GitHub en janvier 2025 par Marko Elez de DOGE, semble être un fork dérivé de ce code
Code original : https://github.com/Ge0rg3/requests-ip-rotator
Fork : https://github.com/markoelez/async-ip-rotator
Le code est quasiment identique, avec seulement les commentaires supprimés, un peu de
asyncsaupoudré ici et là et quelques changements mineurs ; on dirait qu’il l’a collé dans un LLM en demandant de le rendre asynchrone. Mais la licence GPL3 d’origine a disparu, ce qui ne semble pas être le genre de chose que les gens de DOGE comprennent ou respectentPage archivée du dépôt : https://archive.ph/LI7tt ; archive du nombre antérieur de dépôts : https://archive.ph/tgkg5
0. https://arstechnica.com/tech-policy/2025/04/i-no-longer-hack...
En substance : « S’il s’agit d’un projet annexe, ce n’est que du mauvais code, mais si c’est ainsi que des systèmes de production sont construits, il y a de quoi s’inquiéter bien davantage. Cette implémentation est fondamentalement cassée, et si quelque chose de similaire a été déployé dans un environnement traitant des données sensibles, il faut l’auditer immédiatement »
Supprimer la licence dans une copie personnelle est tout à fait possible au regard des conditions de la licence, et la mettre dans un dépôt GitHub privé ne pose pas non plus de problème. Mais si quelqu’un l’a placé dans un dépôt public sans intention de distribution, par exemple à cause de limites sur les dépôts privés gratuits, la situation devient ambiguë
Cette partie de l’alerte du lanceur d’alerte semble bien plus grave
Vers le 11 mars 2025, les indicateurs NxGen auraient montré une utilisation anormale à un moment précis de la semaine précédente, avec des temps de réponse bien supérieurs à la ligne de base et une hausse des sorties réseau plus élevée que jamais auparavant. Cela coïncidait presque avec un événement d’exfiltration de données, et les connexions depuis l’étranger, bloquées par la politique d’accès, avaient également augmenté
Par exemple, quelques jours après l’accès de DOGE aux systèmes du NLRB, un utilisateur disposant d’une adresse IP située dans le kraï du Primorié en Russie a commencé à tenter de se connecter ; les tentatives ont été bloquées, mais elles étaient jugées particulièrement préoccupantes. Ces connexions utilisaient l’un des nouveaux comptes liés aux activités de DOGE, et comme le flux d’authentification ne semblait s’arrêter qu’au niveau de la politique bloquant les connexions étrangères, il semble que l’utilisateur disposait du bon nom d’utilisateur et du bon mot de passe. Il y aurait eu plus de 20 tentatives de ce type, et le fait que beaucoup aient eu lieu dans les 15 minutes suivant la création des comptes par les ingénieurs de DOGE était particulièrement inquiétant
L’interprétation la plus grave est plus simple : ces personnes travaillaient comme agents de la Russie et lui ont permis d’entrer, ou ont installé un keylogger pour son compte
C’est un élément qui suggère fortement que des membres de DOGE effectuaient du scraping en utilisant plusieurs adresses IP cloud
Selon le lanceur d’alerte, des représentants de DOGE ont rencontré la direction du NLRB le 3 mars et exigé la création de plusieurs comptes « tenant admin » tout-puissants, exemptés de la journalisation réseau détaillant toutes les activités de ces comptes
Vu au prisme du rasoir d’Occam, la situation paraît assez claire, mais on peut se demander s’il existe une raison légitime à une telle demande
Sans traces d’audit, il n’existe aucun moyen de prouver que les découvertes n’ont pas été fabriquées. La prochaine fois qu’ils affirmeront qu’une personne de 170 ans touche un chèque de sécurité sociale, il sera impossible de démontrer qu’ils n’ont pas soustrait 100 ans à la date de naissance dans une table quelconque
Il semble assez clair que des employés de DOGE ont accédé à des données auxquelles ils n’auraient pas dû avoir accès
D’après l’article, DOGE a eu accès à un compte doté de droits de consultation et de modification très étendus, et quelqu’un affilié à DOGE pourrait avoir téléchargé 10 Go de données. La manière dont cela a été utilisé pourrait être illégale, et l’accès lui-même pourrait l’être dès le départ. On ne sait pas non plus si le président peut accorder un tel droit d’accès ; personnellement, je pense que non
Par ailleurs, un employé de DOGE a téléchargé du code permettant de contourner des restrictions en utilisant l’énorme pool d’IP d’AWS ; ce code était très mal écrit, et cette personne a aussi tenu des propos racistes
Cela dit, je ne vois pas très bien en quoi l’automatisation du screen scraping de pages web avec des adresses IP AWS « illimitées » aurait aidé à copier des données extrêmement sensibles de la base de données interne du NLRB. Si un système contenant des données ultrasensibles est accessible depuis des IP externes et autorise, avec un seul compte, 10 000 sessions connectées simultanément pour aspirer une base interne, alors le système est gravement cassé. À moins que cela veuille dire que ce code a été modifié pour utiliser 100 ou 10 000 IP internes du NLRB ? Là encore, ce n’est pas clair. L’automatisation mentionnée plus loin a davantage de sens comme outil d’assistance au travail
Le CEO de Tesla et SpaceX, qui revendique lui-même un QI élevé et est présenté comme programmeur, semble avoir en pratique recruté des script kiddies pour sa delta force d’élite chargée de réduire la technologie gouvernementale
Cela dit, j’ai ensuite été surpris d’entendre dire qu’aux débuts de SpaceX, Musk avait été un dirigeant compétent et débrouillard. C’est peut-être le résultat d’un culte de la personnalité, mais cela m’a aussi semblé plausible. À l’époque, il ne jouait apparemment pas au meilleur ingénieur et savait rester à sa place de manager d’ingénierie. Il a peut-être été semblable à ces très bons managers qui ne savent pas coder, mais comprennent bien le logiciel et savent distinguer quand il faut coder soi-même et quand il faut pousser une conception
Au fond, la célébrité est comme une drogue puissante. Je ne pense pas que Musk ait jamais été particulièrement « à haut QI », et vu son premier mariage, il me semble avoir toujours été un loser misogyne, mais être adulé comme le « Tony Stark du monde réel » semble lui avoir bousillé le cerveau. La kétamine n’aide probablement pas non plus
Ces personnes cherchent et gardent autour d’elles les « meilleurs des meilleurs » selon leur imagination, et il devient crucial pour leur ego que cette croyance ne soit pas remise en cause. Elles deviennent aveugles aux preuves contraires, et les gens qu’elles ont « découverts » doivent être extraordinaires pour justifier leur capacité à repérer les talents
C’est ce qui semble se produire ici aussi. Les personnes autour d’Elon n’ont pas l’air particulièrement exceptionnelles, et leurs compétences sont très suspectes, mais pour soutenir son propre mythe, il lui faut un harem de « Super Coders »
Le message est que quelques jeunes ordinaires diplômés en informatique, pas même assez âgés pour louer une voiture, peuvent faire économiser des dizaines de milliards de dollars simplement en examinant les informations financières les plus basiques de ministères. Autrement dit, ils ne devraient pas être une « delta force », mais des stagiaires
Je ne cherche pas à défendre les moyens au nom de la fin, mais j’aimerais que les impôts soient dépensés plus efficacement. En même temps, le niveau d’accès qui leur est accordé est extrêmement inquiétant, et il n’y a pratiquement aucune responsabilité
Même en ignorant qui est Marko, il est étrange qu’une personne au hasard publie une attaque publique de ce type dans un dépôt. Je n’ai jamais eu envie d’attaquer un dépôt sur lequel je serais tombé par hasard, et la critique sent aussi l’IA
Lien cité : https://github.com/markoelez/async-ip-rotator/issues/1
Les commentaires qui ont suivi forment aussi une interaction assez étrange, intéressante si ce n’est pas une coïncidence
À cause de cette affaire, quelqu’un a très probablement voulu savoir quel était réellement son niveau en code et a regardé les dépôts qu’il avait créés. Ensuite, Musk a organisé sur X un « vote » pour savoir s’il fallait réembaucher Elez chez DOGE ; le 20 février, Elez avait de nouveau une adresse e-mail du gouvernement américain, et le 21 février, il a été rapporté qu’il travaillait pour DOGE à la Social Security Administration
Le fait même qu’ils aient laissé ces packages publics sur GitHub est bizarre. Ils ne savent pas qu’on peut les rendre privés ? Franchement, ça montre à quel point ces gens sont stupides.
Il suffit de regarder la liste des grâces accordées par cette administration. Ils ne seront même pas poursuivis.
Quelqu’un devrait aller en prison pour ça. Ce n’est pas un simple malentendu, c’est une attaque délibérée contre tous les citoyens américains.
Le deep state qui les inquiétait, c’est exactement ça, et la botte qui les écrasera aussi.
Édit : le commentaire parent était le mieux classé de cet article, et maintenant il est tout en bas ?
Si les grâces ne sont pas le moyen d’empêcher le prochain Congrès et la prochaine administration de remettre de l’ordre, l’alternative est trop sombre pour qu’on veuille y penser.
Avoir un accès complet aux bases de données gouvernementales de façon intraçable, il est difficile même d’en imaginer les répercussions.
J’espère seulement qu’il y aura suffisamment d’éléments pour que les gens le prennent au sérieux. Quant au nombre de cas encore susceptibles d’être révélés, je laisse le lecteur en juger.
Je ne comprends pas exactement ce qui est affirmé. Est-ce que les gens de DOGE auraient écrit/utilisé du code de « hackers » sur GitHub pour contourner les restrictions de sécurité des données du NLRB ? S’ils avaient déjà un compte superutilisateur dans le système, pourquoi auraient-ils eu besoin de faire ça ?
Je recommande de lire le signalement : https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...
https://whistlebloweraid.org/wp-content/uploads/2025/04/2025...