Le code d’un ingénieur de DOGE corrobore les accusations d’un lanceur d’alerte du NLRB

 (krebsonsecurity.com)
2 points par GN⁺ 2025-04-24 | 1 commentaires | Partager sur WhatsApp
  • Un lanceur d’alerte du NLRB affirme que le département DOGE rattaché à Elon Musk a téléchargé sans autorisation plus de 10 Go de données sensibles sur des conflits du travail
  • Des comptes DOGE auraient échappé à la surveillance des logs grâce à des privilèges administrateur et téléchargé trois codes externes depuis GitHub, dont l’un inclut une technique de rotation d’IP utilisée pour le web scraping et les attaques par force brute
  • Un employé clé, Marko Elez, a mis en ligne la version la plus récente de cette technologie sur GitHub ; il avait déjà été au centre de controverses pour des violations passées de règles de sécurité de l’information et des propos polémiques
  • Parmi les autres codes téléchargés figuraient Integuru, un outil de rétro-ingénierie d’API, et Browserless, un outil de navigateur automatisé
  • La qualité du code d’Elez a été sévèrement critiquée sur GitHub, et le dépôt concerné a ensuite été supprimé

Accès des comptes DOGE à des informations sensibles

  • Le lanceur d’alerte Daniel J. Berulis affirme que des employés de DOGE ont demandé au NLRB, le 3 mars, la création de comptes administrateur au plus haut niveau (tenant admin)
  • Ces comptes auraient été exclus de toute surveillance des logs réseau et permettaient de lire/copier/modifier des données ainsi que de manipuler les journaux
  • Ni Berulis ni son supérieur ne disposaient de tels privilèges, mais DOGE les aurait obtenus

Téléchargement de code GitHub et outil de rotation d’IP

  • Des comptes DOGE ont téléchargé trois dépôts GitHub externes, dont l’un est une bibliothèque générant des “pseudo-infinite IPs”
  • Cette bibliothèque est utilisée pour le web scraping et les tentatives de connexion par force brute
  • Ce code dérive de requests-ip-rotator, créé par l’utilisateur GitHub Ge0rg3, et Marko Elez s’en est servi pour créer async-ip-rotator en janvier 2025

Marko Elez et ses controverses

  • Marko Elez a travaillé dans plusieurs entreprises de Musk, dont X, SpaceX et xAI ; il est aujourd’hui rattaché au département du Travail et détaché auprès de plusieurs agences fédérales
  • Lors d’un précédent passage au Trésor, il avait déjà suscité la polémique à la suite d’une fuite d’informations sensibles ; après une controverse liée à des propos racistes, il avait été licencié puis réintégré
  • Politico a rapporté qu’Elez avait auparavant commis une violation de politique de sécurité de niveau élevé

Autres codes téléchargés et polémique sur la sécurité

  • Les autres dépôts GitHub téléchargés incluaient :
    • Integuru : un framework de rétro-ingénierie des API de sites web
    • Browserless : un outil d’automatisation web reposant sur un pool de navigateurs
  • Des utilisateurs GitHub ont soulevé de graves problèmes de sécurité et de scalabilité concernant async-ip-rotator
    • « Si ce code est utilisé dans un système de niveau production, il devrait faire l’objet d’un audit de sécurité immédiat »

Paralysie du NLRB et contexte politique

  • Le président Trump a limogé trois membres du NLRB, paralysant de fait le fonctionnement de l’agence
  • Amazon et SpaceX poursuivent actuellement le NLRB en justice, estimant qu’il viole la Constitution, mais une cour d’appel a rejeté cet argument le 5 mars
  • Berulis avertit que cette fuite de données pourrait donner à certaines entreprises un avantage indu dans les conflits du travail
    • « Il devient possible d’identifier les organisateurs syndicaux puis de les licencier »

À lire aussi

1 commentaires

 
GN⁺ 2025-04-24
Commentaires sur Hacker News

  • Le code de Ge0rg3 est « open source », et n’importe qui peut le copier et le réutiliser à des fins non commerciales

    • Une nouvelle version dérivée de ce code, « async-ip-rotator », a été commitée sur GitHub en janvier 2025 par Marko Elez de DOGE
    • Il est presque identique au code d’origine, mais les commentaires ont été supprimés, un peu de async a été ajouté et quelques modifications mineures ont été apportées
    • Cependant, la licence GPL3 d’origine a disparu
    • Il est difficile de s’attendre à ce que les gens de DOGE comprennent cela ou le respectent

  • Selon la plainte du lanceur d’alerte Daniel J. Berulis, vers le 11 mars 2025, les métriques NxGen ont montré une utilisation anormale

    • Après que DOGE a accédé aux systèmes du NLRB, un utilisateur avec une adresse IP située dans le Primorié, en Russie, a commencé des tentatives de connexion
    • Ces tentatives ont été bloquées, mais ont été jugées particulièrement alarmantes
    • Les tentatives de connexion utilisaient l’un des comptes nouvellement créés pour les activités liées à DOGE, et le flux d’authentification a été bloqué en raison de la politique interdisant les connexions depuis l’étranger
    • Plus de 20 tentatives de connexion de ce type ont eu lieu, et ce qui est particulièrement préoccupant, c’est que beaucoup de ces tentatives sont intervenues dans les 15 minutes suivant la création du compte par un ingénieur DOGE

  • Des employés de DOGE ont accédé à des données auxquelles ils n’auraient pas dû avoir accès

    • Il est possible que DOGE ait accédé à un compte doté de privilèges considérables et téléchargé 10 Go de données
    • Il est possible que ces données aient été utilisées illégalement
    • On ne sait pas clairement si le POTUS peut autoriser un tel accès

  • Des employés de DOGE ont téléchargé du code permettant de contourner des restrictions en utilisant le pool d’adresses IP d’AWS

    • Le code est mal écrit
    • Il pourrait être raciste

  • Il est jugé étrange de voir comment des employés de DOGE auraient pu tirer profit de l’utilisation d’adresses IP « illimitées » d’AWS pour automatiser le screen scraping de pages web et copier des données sensibles depuis une base de données interne du NLRB

    • On s’interroge sur l’éventualité que 10 000 sessions se soient authentifiées simultanément auprès de la base de données pour scraper des données
    • S’il existe un système où des données extrêmement sensibles sont accessibles depuis des IP externes et où un seul compte peut se connecter 10 000 fois pour scraper des données, alors il y a un problème

  • Des critiques du code de Marko Elez ont été publiées sur la page GitHub des « issues »

    • Le code y est qualifié de « non sécurisé, non extensible et d’échec fondamental de l’ingénierie »
    • Cette critique semble avoir été générée par une IA

  • Il est avancé que le CEO de Tesla et de Space-X a embauché un script kiddie

  • Certains affirment que quelqu’un devrait aller en prison pour cette affaire

    • Il ne s’agit pas d’un simple malentendu, mais d’une attaque délibérée contre tous les citoyens américains

  • Des critiques visent le package rendu public sur GitHub

    • On a l’impression qu’ils ne savent même pas qu’il est possible de le rendre privé

  • Une inquiétude existe concernant un accès intraçable et total aux bases de données gouvernementales

  • Berulis affirme avoir rendu l’affaire publique parce que ses supérieurs lui ont dit de ne pas la signaler à l’US-CERT

    • Si cette affirmation est vraie, on peut se demander quelle motivation ses supérieurs avaient pour vouloir garder cela secret
    • Il est possible que le reste du gouvernement fédéral soit également vulnérable au même acteur menaçant
    • On se demande si ses supérieurs ont signalé cette crise de sécurité par de meilleurs canaux, ou s’ils ont essayé de la garder totalement secrète