Discussion :

[Artemus24]

En effet, les quelques programmes C++ dont nous disposons sont exécutés sur des machines Windows et non sous nos VMS, même si j'ai du mal a comprendre où tu voulais en venir.

Remplacer les gros ordinateur IBM VM/CMS JCL TSO ISP qui sont très performants, par des mini ordinateurs en migrant le COBOL vers du 'C/C++', risque d'être problématique du point de vue sécurité mais aussi en performance. C'est selon moi, peu réaliste.

- Les règles métiers accumulées depuis 40 ans sont difficilement traduisibles, surtout quand a l'époque la Qualité n'imposait pas une documentation rigoureuse.

Ce problème existe aussi dans les banques où l'on ne sait plus trop comment fonctionner des pans entiers de codes COBOL car il n'y a pas ou plus de documentations pour expliquer ce que ça fait réellement. Sans compter, le nombre considérable d'intervenant qui ont modifié le code, pas toujours d'une bonne manière. Bonjour pour faire une retroingérierie qui sera extrêment complexe, sans rien apporter de bénéfique au final.

[quote="Prox_13"]-Les performances du code COBOL sont impressionnantes comparées aux alternatives proposées.
Entièrement d'accord. Donc pourquoi changer quelque chose qui fonctionne parfaitement ?

Mais je suis curieux de savoir quelle pertinence tu as vu sur ce point d'avoir été créé avant ou après les guerres ?

J'ai réagit sur le fait que le COBOL n'est pas apparu avant guerre mais en 1959.

Tu as l'air d'avoir quelque chose a dire sur les langages d'avant guerre et ça m'intéresserait de savoir.

J'ai connu la fin des perforatrice et des cartes perforées pour écrire un programme. Le seul point positif est qu'à l'époque, on savait programmer car la place manquait et il fallait jongler dans des techniques qui ont totalement disparu aujourd'hui pour gérer la mémoire. C'est comparable entre la règle à calcule et les approximations que l'on faisaient à l'époque et l'avènement aujourd'hui des calculatrices et des ordinateurs qui nous ont simplifié grandement la tâche. Mais croire que la tâche sera plus simple de remplacer le COBOL est selon moi une erreur.

[Guesset]

Bonjour,

La migration du COBOL vers un autre langage sera aussi difficile pour des questions d'âge.
Les vieilles applications accumulent du code mort. Par exemple, une nouvelle règle s'impose, alors on développe un module pour la prendre en charge, mais on garde l'ancienne règle active pour traiter les dossiers en cours. Normalement, au bout d'un certain temps l'ancienne règle devrait être retirée, mais c'est rarement (jamais ?) fait. Et des scories s'accumulent.
Alors, faire une migration permettrait d'avoir, non pas une nouvelle application, mais une vieille application avec des habits neufs.

En outre, je suis toujours fasciné par notre aptitude à croire à la magie. Aujourd'hui cela s'appelle IA. Tous les outils ont leur intérêt et leur limitations.
L'IA a besoin de modèles construits sur la base de (très) nombreux exemples.
Mais des exemples de migrations COBOL vers C++ ou n'importe quoi, il n'y en pratiquement pas (même le simple accès aux sources COBOL des grosses applications est très protégé).
Donc pas de baguette magique. Et cela malgré la simplification outrancière que je fais en réduisant le problème à un portage entres langages alors que ce serait une migration de tout un écosystème.

Je pense que la solution passera par une duplication croisées des données dans une base actuelle. Puis de commencer des développements par modules autour de cette base. D'abord des fonctionnalités existantes pour vérifier la stabilité comportementale puis, peu à peu, sur de nouveaux modules. Avec un peu de chance, quand la réécriture sera complète, le langage cible sera lui aussi obsolète

Salutations

[Escapetiger]

Bonjour,

En outre, je suis toujours fasciné par notre aptitude à croire à la magie. Aujourd'hui cela s'appelle IA. Tous les outils ont leur intérêt et leur limitations.
L'IA a besoin de modèles construits sur la base de (très) nombreux exemples.
Mais des exemples de migrations COBOL vers C++ ou n'importe quoi, il n'y en pratiquement pas (même le simple accès aux sources COBOL des grosses applications est très protégé).
Donc pas de baguette magique. Et cela malgré la simplification outrancière que je fais en réduisant le problème à un portage entres langages alors que ce serait une migration de tout un écosystème. (.../...)

Merci de rappeler les fondamentaux, de mon point de vue Elon Musk joue à l'apprenti sorcier (en allemand : Der Zauberlehrling) avec cette histoire de migration COBOL avec l'IA, nous verrons bien à l'échelle médiatique planétaire le résultat.

En attendant, respectons notre histoire / culture IT commune, pas de baguette magique :

Pas de balle en argent (Wikipedia)

« Pas de balle en argent » (traduction littérale de « No Silver Bullet », et dont le sens est « pas de baguette magique » ) est une expression introduite en génie logiciel dans les années 1980 par Frederick Brooks lorsqu'il a publié No Silver Bullet — Essence and Accidents of Software Engineering. Brooks désigne ainsi l'ensemble des « techniques miracles » censées permettre magiquement d'augmenter la productivité des programmeurs et de diminuer la quantité de bugs dans les programmes produits, et ainsi de tuer le monstre redouté, le dépassement des délais, lors de la réalisation des projets informatiques.

L'expression est un jeu de mots entre d'une part le fait que dans une présentation, les puces au début de chacune des phrases s'appellent en anglais bullet(s), d'autre part le fait qu'une balle d'argent est, dans les légendes, le seul projectile capable d'abattre un lycanthrope, et a donc le statut d'arme miraculeuse.

Brooks, qui a relaté son expérience dans Le Mythe du mois-homme, a par la suite écrit un article marquant, No Silver Bullet, où il met en doute les « technologies miracles » de son temps. L'expression Silver Bullet est depuis entrée dans le langage du génie logiciel. (.../...)

[Stéphane le calme]

Un lanceur d'alerte accuse des ingénieurs du DOGE de Musk d'avoir exfiltré environ 10 Go de données sensibles,
notamment des informations sur des activités syndicales et des secrets commerciaux, tout en dissimulant leurs traces

Un scandale de cybersécurité secoue actuellement les sphères gouvernementales américaines, mettant en cause le Département de l'Efficacité Gouvernementale (DOGE), dirigé par Elon Musk. Selon une plainte déposée par le lanceur d'alerte Daniel Berulis, technicien informatique au sein du National Labor Relations Board (NLRB), des membres de DOGE auraient obtenu un accès étendu aux systèmes informatiques de l'agence, permettant l'exfiltration de données sensibles.

Dans une déclaration sous serment, Berulis affirme que, dès mars 2025, les protocoles de journalisation du NLRB ont été altérés, et environ 10 gigaoctets de données confidentielles auraient été transférés hors des serveurs de l'agence. Ces informations incluraient des détails sur des activités syndicales, des informations commerciales sensibles et des témoignages privés. De plus, des tentatives de connexion depuis une adresse IP russe utilisant des identifiants valides ont été détectées, bien que bloquées par les politiques de sécurité géographiques en place.

Dans les premiers jours de mars, une équipe de conseillers du nouveau ministère de l'efficacité gouvernementale (DOGE) du président Trump est arrivée au siège du National Labor Relations Board, dans le sud-est de Washington. Cette petite agence fédérale indépendante enquête et statue sur les plaintes relatives aux pratiques de travail déloyales. Elle stocke des quantités de données potentiellement sensibles, qu'il s'agisse d'informations confidentielles sur des employés souhaitant former des syndicats ou d'informations commerciales exclusives.

Les employés du DOGE, qui sont dirigés par Elon Musk, conseiller de la Maison Blanche et PDG milliardaire de l'industrie technologique, semblaient vouloir accéder aux systèmes internes du NLRB. Ils ont déclaré que la mission générale de leur unité était d'examiner les données de l'agence pour s'assurer de leur conformité avec les politiques de la nouvelle administration et pour réduire les coûts et maximiser l'efficacité.

Les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système

Mais d'après une déclaration officielle du lanceur d'alerte partagée avec le Congrès et d'autres superviseurs fédéraux, des entretiens ultérieurs avec le lanceur d'alerte et des enregistrements de communications internes, les membres du personnel technique ont été alarmés par ce que les ingénieurs du DOGE ont fait lorsqu'ils ont obtenu l'accès, en particulier lorsque ces membres du personnel ont remarqué un pic dans les données quittant l'agence. Il est possible que ces données contiennent des informations sensibles sur les syndicats, des affaires juridiques en cours et des secrets d'entreprise (des données qui, selon quatre experts en droit du travail, ne devraient presque jamais quitter le NLRB et qui n'ont rien à voir avec l'amélioration de l'efficacité du gouvernement ou la réduction des dépenses).

Pendant ce temps, selon la divulgation et les enregistrements de communications internes, les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système et ont ensuite semblé essayer de brouiller les pistes, en désactivant les outils de surveillance et en supprimant manuellement les enregistrements de leur accès (un comportement évasif que plusieurs experts en cybersécurité ont comparé à ce que pourraient faire des pirates informatiques criminels ou parrainés par un État).

Les employés se sont inquiétés du fait que les données confidentielles de la NLRB pouvaient être exposées, en particulier après avoir commencé à détecter des tentatives de connexion suspectes à partir d'une adresse IP en Russie, selon la divulgation. Finalement, le service informatique a lancé un examen formel de ce qu'il considérait comme une violation grave et continue de la sécurité ou comme une suppression potentiellement illégale d'informations personnellement identifiables. Le lanceur d'alerte estime que l'activité suspecte justifie une enquête plus approfondie de la part d'agences disposant de plus de ressources, telles que l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency) ou le FBI.

Une manne pour les entreprises

Les experts en droit du travail craignent que si les données sont divulguées, elles pourraient faire l'objet d'abus, notamment de la part d'entreprises privées qui ont des affaires devant l'agence et qui pourraient obtenir des informations sur des témoignages préjudiciables, des dirigeants syndicaux, des stratégies juridiques et des données internes sur les concurrents (SpaceX de Musk en fait partie). Cela pourrait également intimider les lanceurs d'alerte qui pourraient s'exprimer sur des pratiques de travail déloyales, et cela pourrait semer la méfiance quant à l'indépendance du NLRB, ont-ils déclaré.

Les nouvelles révélations sur les activités du DOGE au sein de l'agence du travail proviennent d'un lanceur d'alerte du service informatique du NLRB, qui a fait part de ses inquiétudes au Congrès et au Bureau du conseiller spécial des États-Unis dans un rapport détaillé. Pendant ce temps, ses tentatives pour soulever des problèmes en interne au sein du NLRB ont conduit quelqu'un à « scotcher physiquement une note menaçante » sur sa porte, qui comprenait des informations personnelles sensibles et des photos de lui promenant son chien qui semblaient avoir été prises avec un drone, selon une lettre d'accompagnement jointe à sa déclaration déposée par son avocat, Andrew Bakaj, de l'organisation à but non lucratif Whistleblower Aid.

Elon Musk et la NLRB s'affronte devant les tribunaux

Musk est actuellement engagé dans une bataille juridique avec le NLRB au sujet de la capacité de l'agence à faire respecter le droit du travail. Les avocats de SpaceX, la société de Musk, ont fait valoir devant un tribunal en novembre que la structure du NLRB était inconstitutionnelle.

Une décision défavorable à l'agence pourrait réduire considérablement son pouvoir.

La bataille juridique a commencé après que le NLRB a accusé SpaceX de licencier illégalement des employés qui avaient publiquement critiqué Musk.

L'organisation à but non lucratif Whistleblower Aid, qui représente Berulis sur le plan juridique, a transmis sa déclaration sous serment dans une lettre adressée aux sénateurs Tom Cotton et Mark Warner. Tom Cotton et Mark Warner, respectivement premier républicain et premier démocrate de la commission sénatoriale sur le renseignement. Il a demandé à la commission d'enquêter sur cette affaire.

La lettre décrit les actions du DOGE comme pouvant constituer une « violation importante de la cybersécurité qui a probablement exposé et continue d'exposer notre gouvernement aux services de renseignement étrangers et aux adversaires de notre nation ».

Berulis a déclaré à Reuters lors d'une interview mardi que les données en question comprennent des informations commerciales exclusives provenant de concurrents, d'organisations syndicales et de défendeurs de pratiques déloyales de travail, ainsi que leurs revendications, y compris des déclarations sous serment privées. « Ce type de pic est extrêmement inhabituel car les données ne quittent presque jamais directement les bases de données du NLRB », a déclaré Berulis dans sa déclaration sous serment.

Berulis affirme dans sa déclaration sous serment qu'il y a eu des tentatives de connexion aux systèmes du NLRB à partir d'une adresse IP en Russie dans les jours qui ont suivi l'accès aux systèmes par le DOGE. Il a déclaré à Reuters mardi que les tentatives de connexion comprenaient apparemment des combinaisons correctes de nom d'utilisateur et de mot de passe, mais qu'elles avaient été rejetées par des politiques d'accès conditionnel liées à la localisation.

La déclaration sous serment de Berulis indique que ses efforts et ceux de son collègue pour enquêter officiellement et alerter l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont été interrompus par des supérieurs sans explication.

Alors que lui et ses collègues se préparaient à transmettre les informations qu'ils avaient recueillies à la CISA, il a reçu une note menaçante scotchée à la porte de son domicile, accompagnée de photographies de lui se promenant dans son quartier, prises par un drone, a déclaré Andrew Bakaj, conseiller juridique principal de Whistleblower Aid, dans sa soumission à Cotton et Warner.

« Contrairement à ce qui s'est passé auparavant, les gens ont peur de s'exprimer par crainte de représailles », a déclaré Berulis à Reuters. « Nous voyons des données qui sont traditionnellement protégées par les normes les plus strictes du gouvernement américain être prises et les personnes qui essaient d'empêcher cela, les personnes qui disent non, sont éliminées les unes après les autres ».

Le DOGE d'Elon Musk aurait réduit les effectifs des organismes de surveillance chargés d'enquêter sur les Teslas autonomes

Tesla est dans la tourmente avec une chute brutale de 55 % de ses actions par rapport à leur sommet de mi-décembre. Dans le même temps, les logiciels Autopilot et Full Self-Driving de Tesla font l'objet d'une enquête fédérale de la part de la NHTSA en raison de défaillances techniques qui ont conduit à des accidents graves, parfois mortels. Mais un rapport souligne que le DOGE d'Elon Musk s'en est pris au personnel chargé d'examiner la sécurité des véhicules autonomes comme ceux que Tesla veut construits. Environ 4 % du personnel de la NHTSA auraient été licenciés, une décision que les critiques considèrent comme un conflit d'intérêts.

Les critiques affirment qu'Elon Musk est mal placé pour diriger le DOGE. Dans un message publié en février sur X (ex-Twitter), l'ancien secrétaire au travail Robert Reich, qui a servi dans l'administration Clinton, a écrit : « la NHTSA est la dernière agence fédérale à être touchée par les licenciements du DOGE. C'est cette même agence qui a enquêté sur les accidents impliquant les voitures autonomes de Tesla. Il n'a jamais été question d'efficacité ».

Le sénateur démocrate Chris Murphy, du Connecticut, est également de cet avis. « Votre rappel matinal : tout ceci n'est qu'une escroquerie corrompue. Elon Musk licencie 50 % des personnes chargées de réglementer les voitures autonomes qu'il fabrique et vend. Ceux qui restent serviront selon le bon vouloir de celui qu'ils sont censés réguler. Ce n'est pas une blague », a écrit Chris Murphy. Cette situation pourrait nuire à Tesla, qui déjà dans la tourmente.

Une cour d'appel a permis au DOGE du milliardaire Elon Musk d'accéder à nouveau aux données personnelles privées de trois agences fédérales

La décision de la cour d'appel marque un revirement par rapport aux jugements précédents. En février 2025, un juge fédéral a bloqué l'accès du DOGE aux informations sensibles du ministère de l'Éducation et de l'Office of Personnel Management (bureau de gestion du personnel). L'ordonnance a indiqué que le gouvernement américain avait violé la loi sur la protection de la vie privée en divulguant des données personnelles au DOGE d'Elon Musk. La juge de district Deborah Boardman, qui a émis l'injonction préliminaire devant le tribunal fédéral de Baltimore, a également estimé que le gouvernement n'avait pas expliqué de manière adéquate pourquoi le DOGE avait besoin de ces informations pour accomplir ses tâches.

Sur la base de ces contraintes juridiques, un juge fédéral a ensuite émis une ordonnance restrictive temporaire bloquant l'accès du DOGE aux données sensibles détenues par l'administration de la sécurité sociale (SSA). La juge Ellen Hollander a ordonné à Elon Musk et au DOGE de supprimer les données personnelles extraites des systèmes de la SSA, limitant ainsi encore davantage l'accès du DOGE aux données gérées par le gouvernement fédéral.

Cependant, dans une décision partagée rendue le lundi 7 avril 2025, un panel de trois juges a bloqué une décision d'un tribunal inférieur qui avait interrompu l'accès du DOGE au département de l'éducation, au département du Trésor et à l'Office of Personnel Management (bureau de gestion du personnel).

Des allégations de violation de la loi sur la protection de la vie privée

Menés par l'American Federation of Teachers, les plaignants allèguent que l'administration Trump a violé les lois fédérales sur la protection de la vie privée en donnant au DOGE l'accès à des systèmes contenant des informations personnelles sur des dizaines de millions d'Américains sans leur consentement, notamment des informations sur les revenus et les biens, les numéros de sécurité sociale, les dates de naissance, les adresses personnelles et les statuts matrimoniaux et de citoyenneté des personnes concernées.

L'administration Trump affirme que le DOGE cible le gaspillage dans l'ensemble du gouvernement fédéral en s'attaquant aux fraudes présumées et en modernisant la technologie.

Source : Daniel Berulis

Et vous ?

Quelle lecture en faites-vous ? Trouvez-vous les accusations de Daniel Berulis pertinente ou crédible ? Dans quelle mesure ?

L’État peut-il rester démocratique s’il délègue ses infrastructures numériques critiques à un acteur privé aussi influent qu’Elon Musk ?

La concentration des systèmes fédéraux dans un méga-département comme DOGE est-elle une rationalisation ou une dérive autoritaire ?

Comment garantir la protection des lanceurs d’alerte dans un système où les géants de la tech disposent d’outils de surveillance avancés ?

Faut-il un "Freedom of Information Act" version cybersécurité, rendant publics tous les logs d’accès aux systèmes sensibles ?

Peut-on encore parler d’État souverain lorsque ses systèmes critiques sont administrés par des sociétés tierces ?

[Stéphane le calme]

Des adresses IP russes accèderaient aux données du gouvernement américain via le DOGE,
un lanceur d'alerte révèle une intrusion de haut niveau dans le DOGE à l'aide d'un identifiant et d'un mot de passe approuvés

Une récente révélation d'un lanceur d'alerte a mis en lumière une faille de cybersécurité majeure au sein du gouvernement américain, impliquant le Département de l'Efficacité Gouvernementale (DOGE), dirigé par Elon Musk. Selon Daniel Berulis, architecte DevSecOps au Conseil National des Relations de Travail (NLRB), des techniciens de DOGE auraient obtenu un accès excessif aux systèmes du NLRB, permettant l'exfiltration de données sensibles.

Berulis affirme que des protocoles de journalisation ont été altérés et qu'environ 10 Go de données, incluant des informations sur des activités syndicales et des affidavits privés, ont été extraits des serveurs du NLRB. Il rapporte également des tentatives de connexion depuis une adresse IP russe utilisant des identifiants valides, bloquées grâce à des politiques de sécurité basées sur la localisation.

Contexte

Ces allégations soulèvent des préoccupations quant à la sécurité des infrastructures critiques américaines, notamment en ce qui concerne l'utilisation de Starlink, le service Internet par satellite de SpaceX. Berulis suggère que l'infrastructure de DOGE, connectée à Starlink, pourrait servir de canal direct vers des réseaux étrangers, facilitant potentiellement l'accès à des données sensibles par des acteurs russes.

En réponse à ces révélations, plusieurs poursuites judiciaires ont été engagées pour contester l'accès de DOGE aux données gouvernementales. Des groupes de défense de la vie privée, tels que l'Electronic Privacy Information Center (EPIC), ont intenté des actions en justice, qualifiant cette situation de « plus grande violation de données de l'histoire des États-Unis ».

Un accès avec des IP russes

Un lanceur d'alerte du National Labor Relations Board (NLRB) a expliqué comment le vol de données du DOGE a été immédiatement suivi d'une tentative d'accès à partir d'adresses IP russes, ce qui soulève de graves questions quant à la pénétration des systèmes les plus sensibles des États-Unis par des services de renseignement étrangers.

Daniel Berulis, informaticien au NLRB, a fourni des preuves montrant que, quelques minutes après que les ingénieurs du DOGE ont obtenu un accès de niveau « Dieu » aux systèmes sensibles du travail, quelqu'un opérant depuis la Russie a tenté de se connecter en utilisant des identifiants du DOGE nouvellement créés. Il ne s'agissait pas d'une simple supposition au hasard : cette personne avait le bon nom d'utilisateur et le bon mot de passe.

Il ne s'agissait pas d'une simple tentative de piratage. Selon la déclaration officielle de Berulis au Congrès : "Ces tentatives étaient “presque en temps réel”... La personne qui tentait de se connecter utilisait l'un des comptes DOGE nouvellement créés - et elle avait le bon nom d'utilisateur et le bon mot de passe".

Bien que ces tentatives de connexion russes aient été bloquées, elles révèlent la vulnérabilité immédiate créée par les activités de la DOGE. Le moment choisi suggère soit une négligence choquante, soit quelque chose de bien plus sinistre - une coordination avec des services de renseignement étrangers.

Les experts en cybersécurité qui ont examiné les preuves fournies par M. Berulis ont constaté l'existence de techniques correspondant à des opérations sophistiquées des services de renseignement russes. Russ Handorf, ancien cyberfonctionnaire du FBI, a noté que ces actions correspondent à ce que nous avons vu de la part d'acteurs russes ciblant les systèmes du gouvernement américain dans le passé. La principale différence ? "On leur a donné les clés de la porte d'entrée.

Cette connexion russe est particulièrement alarmante étant donné les liens bien documentés d'Elon Musk avec Poutine et les oligarques russes. Ses entreprises ont reçu d'importants investissements russes, y compris de la part de milliardaires sanctionnés. L'avocat du dénonciateur a spécifiquement noté la dimension du renseignement étranger, en déclarant : « Cette affaire est particulièrement délicate car elle implique la possibilité que des services de renseignement étrangers sophistiqués accèdent à des systèmes gouvernementaux sensibles. »

Il ne s'agissait pas d'une simple tentative de piratage. Selon la déclaration officielle de Berulis au Congrès : « Ces tentatives étaient “presque en temps réel”... La personne qui tentait de se connecter utilisait l'un des comptes DOGE nouvellement créés - et elle avait le bon nom d'utilisateur et le bon mot de passe ».

Bien que ces tentatives de connexion russes aient été bloquées, elles révèlent la vulnérabilité immédiate créée par les activités de la DOGE. Le moment choisi suggère soit une négligence choquante, soit quelque chose de bien plus sinistre (une coordination avec des services de renseignement étrangers).

Les experts en cybersécurité qui ont examiné les preuves fournies par Berulis ont constaté l'existence de techniques correspondant à des opérations sophistiquées des services de renseignement russes. Russ Handorf, ancien cyberfonctionnaire du FBI, a noté que ces actions correspondent à ce que nous avons vu de la part d'acteurs russes ciblant les systèmes du gouvernement américain dans le passé. La principale différence ?« On leur a donné les clés de la porte d'entrée ».

Cette connexion russe est particulièrement alarmante étant donné les liens bien documentés d'Elon Musk avec Poutine et les oligarques russes. Ses entreprises ont reçu d'importants investissements russes, y compris de la part de milliardaires sanctionnés. L'avocat du dénonciateur a spécifiquement noté la dimension du renseignement étranger, en déclarant : « Cette affaire est particulièrement délicate car elle implique la possibilité que des services de renseignement étrangers sophistiqués accèdent à des systèmes gouvernementaux sensibles. »

Daniel Berulis : la violation des données américaines par les Russes via le DOGE a été réalisée via Starlink « directement vers la Russie »

Suite à ses révélations surprenantes sur la façon dont les ingénieurs du DOGE ont accédé aux bases de données du MLRB sans autorisation, et que des adresses IP russes ont été utilisées avec des identifiants et des mots de passe récemment créés pour y accéder, Daniel Berulis (s'exprimant par l'intermédiaire de son avocat) a fait suivre cette révélation d'une nouvelle bombe selon laquelle les systèmes du DOGE « étaient également connectés à Starlink ».

Bakaj affirme que le ministère de la défense a cessé d'utiliser Starlink parce qu'il est considéré comme un « pipeline direct » vers la Russie. Starlink est le service Internet par satellite d'Elon Musk, qui appartient à SpaceX.

Berulis a partagé un graphique qui, selon lui, montre des « indications de compromission ».

Une cour d'appel a permis au DOGE du milliardaire Elon Musk d'accéder à nouveau aux données personnelles privées de trois agences fédérales

La décision de la cour d'appel marque un revirement par rapport aux jugements précédents. En février 2025, un juge fédéral a bloqué l'accès du DOGE aux informations sensibles du ministère de l'Éducation et de l'Office of Personnel Management (bureau de gestion du personnel). L'ordonnance a indiqué que le gouvernement américain avait violé la loi sur la protection de la vie privée en divulguant des données personnelles au DOGE d'Elon Musk. La juge de district Deborah Boardman, qui a émis l'injonction préliminaire devant le tribunal fédéral de Baltimore, a également estimé que le gouvernement n'avait pas expliqué de manière adéquate pourquoi le DOGE avait besoin de ces informations pour accomplir ses tâches.

Sur la base de ces contraintes juridiques, un juge fédéral a ensuite émis une ordonnance restrictive temporaire bloquant l'accès du DOGE aux données sensibles détenues par l'administration de la sécurité sociale (SSA). La juge Ellen Hollander a ordonné à Elon Musk et au DOGE de supprimer les données personnelles extraites des systèmes de la SSA, limitant ainsi encore davantage l'accès du DOGE aux données gérées par le gouvernement fédéral.

Cependant, dans une décision partagée rendue le lundi 7 avril 2025, un panel de trois juges a bloqué une décision d'un tribunal inférieur qui avait interrompu l'accès du DOGE au département de l'éducation, au département du Trésor et à l'Office of Personnel Management (bureau de gestion du personnel).

Des allégations de violation de la loi sur la protection de la vie privée

Menés par l'American Federation of Teachers, les plaignants allèguent que l'administration Trump a violé les lois fédérales sur la protection de la vie privée en donnant au DOGE l'accès à des systèmes contenant des informations personnelles sur des dizaines de millions d'Américains sans leur consentement, notamment des informations sur les revenus et les biens, les numéros de sécurité sociale, les dates de naissance, les adresses personnelles et les statuts matrimoniaux et de citoyenneté des personnes concernées.

L'administration Trump affirme que le DOGE cible le gaspillage dans l'ensemble du gouvernement fédéral en s'attaquant aux fraudes présumées et en modernisant la technologie.

Source : lettre de Daniel Berulis

Et vous ?

Peut-on confier des infrastructures critiques à des entreprises privées dirigées par des personnalités controversées comme Elon Musk sans garde-fous clairs ?

Quels mécanismes de contrôle devraient être imposés à Starlink et DOGE pour prévenir l’espionnage ou les fuites transnationales ?

L’État américain est-il trop dépendant des solutions technologiques privées pour assurer sa propre cybersécurité ?

Pourquoi les alertes internes comme celles de Daniel Berulis sont-elles si souvent ignorées voire sanctionnées ?

Les protections offertes aux lanceurs d’alerte aux États-Unis ou dans votre pays sont-elles suffisantes face à des enjeux de sécurité nationale ?

Faut-il créer une autorité indépendante dédiée à la surveillance des accès technologiques sensibles par des entités externes ?

[Stéphane le calme]

Le DOGE d'Elon Musk est en train de constituer une « base de données géante » d'informations sensibles sur les Américains,
regroupant des données provenant de diverses agences fédérales

Le Département de l'Efficacité Gouvernementale (DOGE), dirigé par Elon Musk, est au cœur d'une controverse majeure concernant la collecte et la centralisation de données sensibles sur les citoyens américains. Des membres influents du Parti démocrate de la Chambre des représentants, tels que le représentant Gerald Connolly, ont exprimé de vives inquiétudes quant à la constitution par DOGE d'une base de données centralisée regroupant des informations provenant de diverses agences fédérales, notamment l'IRS, la Social Security Administration (SSA), le Département de la Santé et des Services sociaux (HHS), ainsi que des registres électoraux de Pennsylvanie et de Floride.

Contexte

Une cour d'appel a permis au DOGE du milliardaire Elon Musk d'accéder à nouveau aux données personnelles privées de trois agences fédérales. L'échelle à laquelle le DOGE cherche à interconnecter les données, y compris les données biométriques sensibles, n'a jamais été réalisée auparavant, ce qui a suscité l'inquiétude des experts qui craignent que cela ne conduise à des violations désastreuses de la vie privée des citoyens, des travailleurs étrangers certifiés et des immigrés sans papiers.

Depuis le retour du président Donald Trump à la Maison Blanche au début de l'année, plusieurs médias ont largement fait état des tentatives du DOGE d'obtenir un accès sans précédent aux données gouvernementales, mais jusqu'à récemment, peu de choses avaient été rendues publiques sur l'objectif de ces demandes ou sur la manière dont elles seraient traitées.

Les articles du New York Times et du Washington Post ont clairement indiqué que l'un des objectifs était de croiser des ensembles de données et de tirer parti de l'accès aux systèmes sensibles de la SSA pour empêcher les immigrants de participer à l'économie, ce qui, espère l'administration, les obligerait à quitter le pays.

La portée des efforts du DOGE pour soutenir la répression de l'administration Trump en matière d'immigration semble toutefois bien plus large que cela. Entre autres choses, il semble s'agir de centraliser les données relatives aux immigrants provenant de l'ensemble du gouvernement afin de surveiller, de géolocaliser et de suivre les immigrants ciblés quasiment en temps réel.

Une collecte de données massives, une centralisation risquée

Dans une lettre adressée au bureau de l'inspecteur général de l'administration de la sécurité sociale pour demander une enquête sur le DOGE, le député Gerald Connolly (Démocrate de Virginie) a affirmé que l'entité gouvernementale créée par Elon Musk, censée réduire la taille du gouvernement fédéral, est en train de construire une « base de données principale inter-agences » d'informations personnelles sensibles.

Des affirmations que semblent corroborer les sources de certains médias. Wired par exemple a indiqué que deux sources ayant une connaissance directe de la situation ont assuré que des agents du « Département de l'efficacité gouvernementale » (DOGE) d'Elon Musk sont en train de construire une base de données principale au sein du Département de la sécurité intérieure (DHS) qui pourrait suivre et surveiller les immigrés sans papiers.

Le DOGE rassemble les bases de données sur l'immigration de l'ensemble du DHS et télécharge des données provenant d'agences extérieures, notamment l'administration de la sécurité sociale (SSA), ainsi que des dossiers de vote, selon les sources. Selon les experts du WIRED, cela pourrait créer un système dans lequel il serait possible d'effectuer des recherches afin d'identifier et de surveiller les immigrants.

Connolly a cité le témoignage de dénonciateurs de la SSA qui ont vu des ingénieurs de la DOGE accéder au système informatique de l'agence avec des « sacs à dos remplis d'ordinateurs portables, chacun ayant accès à différents systèmes de l'agence », dans le but de les combiner en une seule base de données. Connolly a averti que non seulement une telle base de données constituerait une menace pour la cybersécurité du gouvernement, qui cloisonne ses informations entre plusieurs agences afin d'empêcher les cyberattaques d'accéder à toutes les informations en même temps, mais qu'elle violerait aussi très probablement plusieurs lois sur la protection de la vie privée :

« La commission a également reçu des rapports sur les efforts troublants et maladroits du DOGE pour combiner les informations sensibles détenues par la SSA, l'IRS, le HHS et d'autres agences dans une seule base de données principale inter-agences. L'amélioration de la manière dont les agences fédérales partagent leurs données afin d'améliorer les résultats et le service à la clientèle est un objectif de longue date et bipartisan du Congrès. Les informations obtenues par la commission indiquent toutefois que le DOGE effectue son travail en ignorant d'importantes considérations relatives à la cybersécurité et à la protection de la vie privée, ce qui pourrait constituer une violation de la loi.

« Dans une tentative apparente de contourner les contrôles de sécurité des réseaux, la commission a appris que les ingénieurs de la DOGE ont essayé de créer des ordinateurs spécialisés pour eux-mêmes qui donnent simultanément un accès complet aux réseaux et aux bases de données de différentes agences. Un tel système poserait des risques opérationnels de sécurité sans précédent et saperait l'architecture de cybersécurité « zéro confiance » qui empêche la propagation d'une violation dans une agence ».

Une violation des lois de protection de la vie privée ?

Bien que plusieurs autres enquêtes de la Chambre des représentants sur les activités du DOGE aient révélé leurs efforts de collecte de données dans d'autres agences, la lettre du représentant Connolly est la première à alléguer que le DOGE d'Elon Musk, qui fait désormais maintenant des ravages dans l'ensemble du gouvernement fédéral, rassemble les données de tout le monde dans une base de données géante.

« J'ai longtemps défendu les efforts visant à améliorer le partage des données au sein du gouvernement afin de lutter contre les paiements indus et d'accroître l'efficacité du gouvernement », a écrit Connolly. « Mais tout effort de réforme de nos systèmes actuels doit être entrepris avec la plus grande sensibilité et le plus grand souci de la vie privée, de la sécurité et des paiements de sécurité sociale sur lesquels comptent des millions de personnes ».

Les implications de cette base de données inter-agences en matière de protection de la vie privée violeraient non seulement de nombreuses lois sur la protection de la vie privée et entraîneraient des risques de cybersécurité, mais pourraient également devenir une arme puissante pour quiconque pourrait accéder à cette base de données : elle pourrait être utilisée par le gouvernement pour effectuer une surveillance de masse de toute personne qu'il souhaite cibler, comme les immigrants, ou devenir une cible pour des acteurs extérieurs à la recherche d'un trésor de données privées et personnelles.

Dans les deux cas, « c'est terrifiant », a déclaré à Nextgov John Davisson, avocat principal et directeur des litiges à l'Electronic Privacy Information Center, ajoutant que c'est exactement ce que la loi sur la protection de la vie privée était censée empêcher : « L'agrégation des données constitue une arme, essentiellement, qui peut être utilisée de nombreuses manières différentes ».

Le ministère du travail met des employés à l'écart suite aux pressions du DOGE pour obtenir des données sur les immigrés

Plusieurs employés du ministère du travail (DOL) qui traitent des données sensibles relatives aux travailleurs immigrés ont été mis en congé suite à des démêlés avec des membres du DOGE, selon cinq personnes au courant de l'affaire.

Parmi les personnes mises en congé figurent Steven Rietzke, qui travaille pour l'agence depuis près de 20 ans, et au moins un autre employé de l'administration de l'emploi et de la formation du ministère du travail, selon des employés actuels et anciens à qui Politico a accordé l'anonymat afin qu'ils puissent discuter d'informations sensibles.

« Celui-ci est vraiment sorti de nulle part », a déclaré un employé du DOL.

Ce développement intervient alors que le DOGE cherche de plus en plus à réutiliser les données et les systèmes des agences fédérales d'une manière qui pourrait soutenir la répression de l'immigration de l'administration Trump. Le département du travail joue un rôle clé dans le processus de délivrance de certains visas basés sur l'emploi, et l'ETA est la partie de l'agence qui gère principalement les subventions pour le développement de la main-d'œuvre.

En mars, Miles Collins, employé du DOGE, a tenté d'accéder à certains systèmes de l'ETA, notamment ceux liés au programme national d'emploi des travailleurs agricoles. Ce programme, dont le budget total est inférieur à 100 millions de dollars, finance des formations professionnelles et d'autres services permettant aux travailleurs d'obtenir un emploi plus stable dans l'agriculture ou dans d'autres secteurs. Il est ouvert aux personnes légalement autorisées à travailler aux États-Unis et comprend d'autres conditions d'éligibilité.

Rietzke, qui est chef de division pour les programmes nationaux, les outils et l'assistance technique de l'ETA depuis 2016, était l'un des nombreux employés de carrière qui ont soulevé des objections à l'ampleur des informations recherchées par le DOGE.

« Ils ont insisté pour obtenir des informations qui n'étaient pas incluses dans la base de données que le DOGE était en train de construire », a déclaré l'employé actuel.

Rietzke a confirmé avoir été mis en congé, mais n'a pas souhaité faire d'autres commentaires.

Press Sec: “Border Patrol apprehensions along the southwest border for the entire month of March 2025 were lower than the first two days of March 2024 under Joe Biden — Our administration will not rest until every single violent illegal alien is removed from our country” pic.twitter.com/GlfcBpf1da

— America (@america) April 15, 2025

Conclusion

La collecte par la DOGE de données personnelles sur les immigrés aux États-Unis s'inscrit dans le cadre de la poursuite des mesures de répression de l'administration Trump en matière d'immigration. « Notre administration ne se reposera pas tant que tous les étrangers illégaux violents n'auront pas été expulsés de notre pays », a déclaré Karoline Leavitt, secrétaire de presse de la Maison-Blanche, lors d'une conférence de presse tenue mardi.

« Ce n'est pas pour rien que ces systèmes sont cloisonnés », explique Victoria Noble, avocate à l'Electronic Frontier Foundation. « Lorsque vous placez toutes les données d'une agence dans un répertoire central auquel tout le monde au sein de l'agence ou même d'autres agences peuvent accéder, vous augmentez considérablement le risque que ces informations soient consultées par des personnes qui n'en ont pas besoin et qui les utilisent pour des raisons inappropriées ou à des fins répressives, pour utiliser ces informations à des fins militaires, contre des personnes qu'elles n'aiment pas, des dissidents, pour surveiller des immigrants ou d'autres groupes ».

Source : Gerald Connoly

Et vous ?

Quelle lecture en faites-vous ? Le DOGE a-t-il le droit de collecter et centraliser des informations sensibles provenant de diverses agences gouvernementales ? Quelle régulation serait nécessaire pour limiter l’emprise des entreprises technologiques sur des données sensibles ?

En quoi la centralisation des données par une entité comme la DOGE pourrait-elle violer la Privacy Act et d'autres lois fédérales sur la protection de la vie privée ? Faut-il réformer la législation existante pour mieux encadrer ce type d'initiatives ?

Avec une base de données centralisée regroupant des informations personnelles sensibles, quelle serait la conséquence d'une cyberattaque réussie contre DOGE ? Le système de sécurité actuel est-il suffisant pour protéger ces données ?

Voir aussi :

Un lanceur d'alerte accuse des ingénieurs du DOGE de Musk d'avoir exfiltré environ 10 Go de données sensibles, notamment des informations sur des activités syndicales et des secrets commerciaux

[Stéphane le calme]

L'examen du code d'un employé du DOGE d'Elon Musk publié sur GitHub soutient les affirmations d'un lanceur d'alerte,
qui a accusé des ingénieurs du DOGE d'avoir siphonné des gigaoctets de données sensibles

Un lanceur d'alerte du National Labor Relations Board (NLRB) a affirmé la semaine dernière que des membres du Department of Government Efficiency (DOGE) d'Elon Musk avaient siphonné des gigaoctets de données des dossiers sensibles de l'agence au début du mois de mars. Le lanceur d'alerte a déclaré que des comptes créés pour le DOGE au NLRB ont téléchargé trois dépôts de code de GitHub. Un examen plus approfondi de l'un de ces ensembles de codes montre qu'il est remarquablement similaire à un programme publié en janvier 2025 par Marko Elez, un employé du DOGE âgé de 25 ans qui a travaillé dans un certain nombre d'entreprises de Musk.

Dans les premiers jours de mars, une équipe de conseillers du nouveau ministère de l'efficacité gouvernementale (DOGE) du président Trump est arrivée au siège du National Labor Relations Board, dans le sud-est de Washington. Cette petite agence fédérale indépendante enquête et statue sur les plaintes relatives aux pratiques de travail déloyales. Elle stocke des quantités de données potentiellement sensibles, qu'il s'agisse d'informations confidentielles sur des employés souhaitant former des syndicats ou d'informations commerciales exclusives.

Les employés du DOGE, qui sont dirigés par Elon Musk, conseiller de la Maison Blanche et PDG milliardaire de l'industrie technologique, semblaient vouloir accéder aux systèmes internes du NLRB. Ils ont déclaré que la mission générale de leur unité était d'examiner les données de l'agence pour s'assurer de leur conformité avec les politiques de la nouvelle administration et pour réduire les coûts et maximiser l'efficacité.

Les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système

Mais d'après une déclaration officielle du lanceur d'alerte partagée avec le Congrès et d'autres superviseurs fédéraux, des entretiens ultérieurs avec le lanceur d'alerte et des enregistrements de communications internes, les membres du personnel technique ont été alarmés par ce que les ingénieurs du DOGE ont fait lorsqu'ils ont obtenu l'accès, en particulier lorsque ces membres du personnel ont remarqué un pic dans les données quittant l'agence. Il est possible que ces données contiennent des informations sensibles sur les syndicats, des affaires juridiques en cours et des secrets d'entreprise (des données qui, selon quatre experts en droit du travail, ne devraient presque jamais quitter le NLRB et qui n'ont rien à voir avec l'amélioration de l'efficacité du gouvernement ou la réduction des dépenses).

Pendant ce temps, selon la divulgation et les enregistrements de communications internes, les membres de l'équipe du DOGE ont demandé que leurs activités ne soient pas enregistrées sur le système et ont ensuite semblé essayer de brouiller les pistes, en désactivant les outils de surveillance et en supprimant manuellement les enregistrements de leur accès (un comportement évasif que plusieurs experts en cybersécurité ont comparé à ce que pourraient faire des pirates informatiques criminels ou parrainés par un État).

Les employés se sont inquiétés du fait que les données confidentielles de la NLRB pouvaient être exposées, en particulier après avoir commencé à détecter des tentatives de connexion suspectes à partir d'une adresse IP en Russie, selon la divulgation. Finalement, le service informatique a lancé un examen formel de ce qu'il considérait comme une violation grave et continue de la sécurité ou comme une suppression potentiellement illégale d'informations personnellement identifiables. Le lanceur d'alerte estime que l'activité suspecte justifie une enquête plus approfondie de la part d'agences disposant de plus de ressources, telles que l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency) ou le FBI.

Une autorisation illimitée pour lire, copier et modifier les informations contenues dans les bases de données du NLRB

Selon la plainte déposée la semaine dernière par Daniel J. Berulis, un architecte de sécurité de 38 ans au NLRB, des fonctionnaires du DOGE ont rencontré les dirigeants du NLRB le 3 mars et ont exigé la création de plusieurs comptes « administrateur locataire » tout-puissants qui devaient être exemptés de l'activité de journalisation du réseau qui, autrement, conserverait un enregistrement détaillé de toutes les actions effectuées par ces comptes.

Berulis a déclaré que les nouveaux comptes du DOGE disposaient d'une autorisation illimitée pour lire, copier et modifier les informations contenues dans les bases de données du NLRB. Les nouveaux comptes pouvaient également restreindre la visibilité des journaux, retarder leur conservation, les acheminer ailleurs ou même les supprimer complètement - des privilèges d'utilisateur de premier plan que ni Berulis ni son patron ne possédaient.

Berulis a déclaré avoir découvert que l'un des comptes DOGE avait téléchargé trois bibliothèques de code externes à partir de GitHub que ni le NLRB ni ses sous-traitants n'ont jamais utilisées. Un fichier « readme » dans l'un des paquets de code expliquait qu'il avait été créé pour faire tourner les connexions à travers un grand pool d'adresses Internet sur le cloud qui servent « de proxy pour générer des IP pseudo-infinies pour le web scraping et le brute forcing ». Les attaques par force brute impliquent des tentatives de connexion automatisées qui essaient de nombreuses combinaisons d'informations d'identification en séquence rapide.

Une recherche sur cette description dans Google fait apparaître un dépôt de code sur GitHub pour un utilisateur ayant le nom de compte « Ge0rg3 » qui a publié un programme il y a environ quatre ans appelé « requests-ip-rotator », décrit comme une bibliothèque qui permettra à l'utilisateur « de contourner les limites de débit basées sur l'IP pour les sites et les services ».

« Une bibliothèque Python permettant d'utiliser le grand pool d'adresses IP d'AWS API Gateway comme proxy afin de générer des adresses IP pseudo-infinies pour le web scraping et le brute forcing », peut-on lire dans la description.

Le code de Ge0rg3 est « open source », c'est-à-dire que tout le monde peut le copier et le réutiliser à des fins non commerciales. Il se trouve qu'il existe une version plus récente de ce projet dérivé ou « forké » du code de Ge0rg3 - appelé « async-ip-rotator » - qui a été déposée sur GitHub en janvier 2025 par Marko Elez, faisant partie des effectifs du DOGE.

Membre clé du personnel du DOGE qui a eu accès au système de paiement central du département du Trésor, Elez a travaillé pour un certain nombre d'entreprises de Musk, dont X, SpaceX et xAI. Elez a été l'un des premiers employés de la DOGE à faire l'objet d'un examen public, après que le Wall Street Journal l'a associé à des messages sur les médias sociaux qui prônaient le racisme et l'eugénisme.

Elez a démissionné après ce bref scandale, mais a été réembauché après que le président Donald Trump et le vice-président JD Vance ont exprimé leur soutien à son égard. Politico rapporte qu'Elez est maintenant un assistant du ministère du Travail affecté à plusieurs agences, dont le ministère de la Santé et des Services sociaux.

« Au cours de son premier séjour au Trésor, Elez a violé les politiques de sécurité de l'information de l'agence en envoyant une feuille de calcul contenant des noms et des informations sur les paiements à des fonctionnaires de la General Services Administration », a écrit Politico, citant des dépôts de cour.

Le NLRB est effectivement paralysé depuis que le président Trump a renvoyé trois membres du conseil, laissant l'agence sans le quorum dont elle a besoin pour fonctionner. Amazon et SpaceX de Musk ont poursuivi le NLRB pour des plaintes déposées par l'agence dans des litiges concernant les droits des travailleurs et l'organisation syndicale, arguant que l'existence même du NLRB est inconstitutionnelle. Le 5 mars, une cour d'appel américaine a rejeté à l'unanimité l'argument de Musk selon lequel la structure du NLRB violerait la Constitution.

La plainte de Berulis affirme que les comptes du DOGE au NLRB ont téléchargé plus de 10 gigaoctets de données à partir des dossiers de l'agence, une base de données qui comprend des quantités d'enregistrements sensibles, notamment des informations sur les employés qui veulent former des syndicats et des documents commerciaux exclusifs. Berulis a déclaré qu'il avait rendu l'affaire publique après que des responsables de l'agence lui eurent dit de ne pas signaler l'affaire à l'US-CERT, comme ils en avaient convenu au préalable.

Berulis a déclaré qu'il craignait que le transfert non autorisé de données par le DOGE n'avantage injustement les défendeurs dans un certain nombre de conflits du travail en cours devant l'agence : « Si une entreprise obtenait les données de l'affaire, ce serait un avantage injuste », a déclaré Berulis. « Elle pourrait identifier et licencier des employés et des organisateurs syndicaux sans avoir à en expliquer les raisons.

Berulis a déclaré que les deux autres archives GitHub que les employés de la DOGE ont téléchargées sur les systèmes de la NLRB comprenaient Integuru, un framework logiciel conçu pour rétroconcevoir les interfaces de programmation d'applications (API) que les sites Web utilisent pour récupérer des données, et un navigateur « sans tête » appelé Browserless, qui est conçu pour automatiser les tâches basées sur le Web qui nécessitent un groupe de navigateurs, comme le grattage de sites Web et les tests automatisés.

Le 6 février, quelqu'un a publié une critique longue et détaillée du code d'Elez sur la page « issues » de GitHub pour async-ip-rotator, le qualifiant « d'insécurisé », de « non évolutif » et « d'échec technique fondamental ».

« S'il s'agissait d'un projet secondaire, il s'agirait simplement d'un mauvais code », a écrit l'auteur de la critique. « Mais si cela est représentatif de la façon dont vous construisez des systèmes de production, alors il y a des problèmes beaucoup plus importants. Cette implémentation est fondamentalement défaillante, et si quelque chose de similaire est déployé dans un environnement traitant des données sensibles, il devrait être audité immédiatement. »

Le dépôt de code d'Elez a été supprimé après la publication dans les médias.

Sources : plainte de Daniel J. Berulis, version archivée du code de Marko Elez, critique du code

Et vous ?

Quelle lecture en faites-vous ?

Les agences gouvernementales devraient-elles interdire tout accès non supervisé à leurs systèmes, même à des entités internes comme le DOGE ?

Quels garde-fous devraient être imposés pour encadrer l’usage de bibliothèques de code open source dans les infrastructures critiques de l’État ?

Est-il acceptable que des entités gouvernementales liées à Elon Musk, dont les entreprises sont en conflit avec la NLRB, aient accès à ses systèmes ?

L’affaire révèle-t-elle une concentration de pouvoir technologique et politique autour de figures comme Musk, et faut-il s’en inquiéter ?

Devrait-on créer une autorité indépendante chargée de surveiller l’utilisation des technologies numériques au sein des agences fédérales ?

[Mathis Lucas]

Le DOGE d'Elon Musk accusé de démanteler de l'intérieur les défenses cybernétiques des États-Unis sous prétexte de faire des économies
exposant ainsi le pays à des cyberattaques dévastatrices

Le DOGE d'Elon Musk reste en quête de légitimité depuis sa création par Donald Trump. Cela est lié à son statut controversé, des doutes sur ses économies revendiquées, des défis juridiques concernant son fonctionnement, et ses activités sujettes à controverse. Le DOGE est accusé d'avoir affaibli la cybersécurité des États-Unis, car ses coupes budgétaires et ses licenciements massifs au sein de la CISA ont failli provoquer l'effondrement de la base de données vitale CVE (Common Vulnerabilities and Exposures). Des cadres clés de la cyberdéfense ont été licenciés et des agences dédiées à la cybersécurité ont été dissoutes. Les experts tirent la sonnette d'alarme.

Le président américain Donald Trump a créé le département de l'efficacité gouvernementale (DOGE) pour réduire la taille et les dépenses du gouvernement fédéral américain. L'agence est aussi chargée de travailler à la modernisation des systèmes informatiques du gouvernement fédéral à travers des réformes significatives. Le DOGE est dirigé par son allié milliardaire Elon Musk, connu pour ses décisions radicales en matière de réduction des coûts en entreprise.

Le DOGE d'Elon Musk fait l'objet de controverses depuis le début de ses activités au sein des agences du gouvernement fédéral américain. Par exemple, en février dernier, le DOGE a annoncé la suppression de plus de 1 000 contrats fédéraux jugés inutiles ou gaspillés, totalisant environ 8,6 milliards de dollars.

Bien que ces mesures visent à réduire les dépenses fédérales, elles ont entraîné des licenciements massifs dans des secteurs tels que la santé, la technologie et les infrastructures, suscitant des inquiétudes quant à l'impact sur les services publics essentiels. Selon certains analystes, le secteur américain de la cybersécurité est l'un des plus touchés par les mesures radicales du DOGE, ce qui menace les acquis des États-Unis en matière de défense cybernétique.

Les actions du DOGE menacent l'existence de la base de données CVE

Un des points centraux soulignés par les analystes est la mise en péril de la base de données des vulnérabilités communes (Common Vulnerabilities and Exposures - CVE), un système essentiel pour identifier et classer les failles de sécurité dans les logiciels largement utilisés dans le monde entier. Selon des experts, la réduction des ressources financières allouées à la gestion de cette base de données met en danger la sécurité numérique du pays et du monde.

La base de données CVE est la liste principale de toutes les failles de sécurité des 25 dernières années. Comme l'explique Jen Easterly, ancienne directrice de la Cybersecurity and Infrastructure Security Agency (CISA), dans un message sur LinkedIn : « c'est le catalogue global qui aide tout le monde (équipes de sécurité, éditeurs de logiciels, chercheurs, gouvernements) à organiser et à parler des vulnérabilités en utilisant le même système de référence ».

Selon Jen Easterly, sans une telle organisation, tout le monde utilise un catalogue différent ou pas de catalogue du tout, personne ne sait s'il parle du même problème, et les défenseurs perdent un temps précieux à trouver ce qui ne va pas. Pire encore, les acteurs de la menace profitent de la confusion.

Inquiétudes liées à la réduction des ressources pour la cybersécurité

La menace existentielle qui pèse sur la base de données CVE n'est que la partie émergée de l'iceberg de ce que Donald Trump et ses sbires sont en train de faire aux efforts de cybersécurité des États-Unis. Le groupe qui supervise la base de données CVE, la CISA, a fait l'objet d'une réduction de plus d'un tiers de ses effectifs ces derniers mois. En outre, les employés de la CISA avaient jusqu'au 21 avril minuit pour choisir entre rester en poste ou démissionner.

C'est pour cela que la décision de prolonger le contrat de MITRE CVE a été prise à la dernière heure. Ce contrat prendra fin en mars 2026. Qui sait si Donald Trump et consorts le prolongeront à nouveau ? Les revers pour les efforts de sécurité numérique du gouvernement fédéral américain ne s'arrêtent pas là.

Le général Timothy Haugh, chef de l'Agence nationale de sécurité (NSA) et du Commandement cybernétique des États-Unis, a été licencié début avril. Timothy Haugh était une figure centrale de la défense de l'infrastructure cybernétique du pays, notamment pour la lutte contre l'ingérence russe depuis l'élection de 2016. Son licenciement, ainsi que celui d'autres hauts responsables de la cybernétique, a considérablement affaibli la cyberdéfense du pays.

Démantèlement de plusieurs agences spécialisées en cybersécurité

L'administration Trump a également démantelé systématiquement des organes consultatifs essentiels en matière de cybersécurité. En particulier, le Cyber Safety Review Board (CSRB), créé sous l'administration Biden pour enquêter sur les incidents cybernétiques majeurs, a été dissous en mettant fin aux fonctions de tous ses membres. Cette décision a interrompu les enquêtes sur les cyberattaques importantes, notamment les piratages chinois « Salt Typhoon ».

Les attaques du groupe « Salt Typhoon » visaient également Donald Trump et le vice-président JD Vance, mais pour une raison ou une autre, ils ne semblent pas s'en inquiéter. Qui devrait donc être chargé de protéger les ressources cybernétiques des États-Unis ? Les États et les collectivités locales.

Donald Trump a transféré la responsabilité de la défense cybernétique aux États et aux particuliers, une décision que les experts jugent irréaliste et dangereuse. Les programmes et subventions fédéraux en matière de cybersécurité ont été vidés de leur substance, tandis que les systèmes sensibles ont été exposés à des menaces internes. Les experts ont averti que ce sabotage délibéré pourrait conduire à des cyberattaques dévastatrices affectant les États-Unis.

Les actions du DOGE exposent le pays des cyberattaques dévastatrices

Comme souligné précédemment, Donald Trump a transféré la responsabilité de la défense cybernétique aux États et aux collectivités locales. Cette décision a été prise par le biais d'un décret, intitulé « Achieving Efficiency Through State and Local Preparedness », signé récemment par Donald Trump.

Le décret indique : « la préparation est plus efficace lorsqu'elle est prise en charge et gérée au niveau de l'État, au niveau local et même au niveau individuel, avec le soutien d'un gouvernement fédéral compétent, accessible et efficace. Les citoyens sont les bénéficiaires immédiats de décisions et d'investissements locaux judicieux conçus pour faire face aux risques, notamment les cyberattaques, les incendies de forêt, les ouragans et la météorologie spatiale ».

Selon certains analystes, ce texte prépare le terrain pour se débarrasser de la Federal Emergency Management Administration (FEMA). Ils avertissent que les 50 États et les collectivités locales n'ont pas suffisamment de moyens pour embaucher des experts en sécurité informatique qualifiés. Cela pourrait entraîner une dispersion des ressources et des efforts. À la longue, cette situation pourrait se révéler inefficace dans la lutte contre les menaces cybernétiques.

Le DOGE perçu comme un ennemi intérieur en raison de ses accès

Le DOGE d'Elon Musk a accès à plusieurs systèmes fédéraux sensibles. Il s'agit notamment des systèmes de paiement du département du Trésor et du système de l'Administration de la sécurité sociale. Selon des rapports, ces données auraient été copiées dans des bases de données non officielles et des personnes n'ayant pas le droit de les voir ou de les utiliser pourraient y avoir accès. Une situation qui suscite des préoccupations en matière de cybersécurité.

Selon une récente plainte déposée par le lanceur d'alerte Daniel Berulis, technicien informatique au sein du National Labor Relations Board (NLRB), des membres du DOGE d'Elon Musk auraient obtenu un accès étendu aux systèmes informatiques de l'agence, permettant l'exfiltration de données sensibles.

Dans une déclaration sous serment, il a déclaré que, dès mars 2025, les protocoles de journalisation du NLRB ont été altérés, et environ 10 Go de données confidentielles ont été transférés hors des serveurs de l'agence. Ces données incluent des détails sur des activités syndicales, des informations commerciales et des témoignages privés. Il y aurait également eu des tentatives infructueuses de connexion depuis une adresse IP russe avec des identifiants valides.

Ainsi, non seulement les défenses cybernétiques des États-Unis sont en train d'être démantelées de l'intérieur, mais les données sensibles des Américains sont disponibles pour les plus grandes attaques de sécurité jamais menées contre des citoyens. Par ailleurs, il existe des doutes concernant l'intégrité des membres du personnel du DOGE. Selon de récents rapports, certains d'entre eux auraient été impliqués dans des activités cybercriminelles par le passé.

Réactions juridiques et incertitudes réglementaires liées au DOGE

Les activités du DOGE sont fortement controversées pour de nombreuses raisons. Des membres du personnel du DOGE, souvent liés aux entreprises d'Elon Musk, dont SpaceX et Tesla, ont été déployés dans les agences fédérales américaines. Cela soulève des craintes concernant l'accès à des systèmes sensibles et des informations sur les Américains, ainsi que des conflits d'intérêts potentiels liés à l'influence accrue d'Elon Musk dans les opérations fédérales.

Un récent rapport indique que le DOGE d'Elon Musk a licencié environ 4 % du personnel de la NHTSA (National Highway Traffic Safety Administration), une décision que les critiques considèrent comme un conflit d'intérêts. La NHTSA est l'agence chargée de réglementer le type de voiture qu'Elon Musk et Tesla tentent de construire : des voitures électriques entièrement autonomes. Elle enquête également sur les logiciels Autopilot et Full Self-Driving de Tesla.

Les actions du DOGE ont donné lieu à des poursuites judiciaires, notamment concernant le rôle d'Elon Musk au sein du département du Trésor. Ces plaintes soulignent des préoccupations liées à la vie privée, à la surveillance gouvernementale et à l'influence croissante d'Elon Musk dans les opérations fédérales. « Le DOGE torpille délibérément les acquis des États-Unis en matière de cybersécurité et expose le pays à des menaces », a écrit un critique.

En résumé, les activités du DOGE sont controversées en raison de leurs implications sur la gouvernance, la transparence et l'autonomie des institutions publiques. Bien que ces initiatives soient pertinentes dans le contexte de l'innovation technologique, elles soulèvent des questions éthiques et juridiques importantes.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des actions du DOGE d'Elon Musk ? Sont-elles pertinentes ?
Selon vous, le DOGE est-il en train de détruire de l'intérieur les défenses cybernétiques des États-Unis ?

Voir aussi

Le DOGE d'Elon Musk aurait réduit les effectifs des organismes de surveillance chargés d'enquêter sur les Teslas autonomes, une décision que les critiques considèrent comme un conflit d'intérêts

Un lanceur d'alerte accuse des ingénieurs du DOGE de Musk d'avoir exfiltré environ 10 Go de données sensibles, notamment des informations sur des activités syndicales et des secrets commerciaux

Le DOGE d'Elon Musk veut réécrire le code COBOL qui gère la sécurité sociale américaine en quelque mois. Cette base de code compte plus de 60 millions de lignes de COBOL, ce qui met sa stabilité en péril

[Stéphane le calme]

Des retraités déclarés morts par « erreur » par le DOGE d'Elon Musk, ne peuvent plus bénéficier de la sécurité sociale ni utiliser leurs comptes bancaires,
tandis que Musk mène la guerre contre le gaspillage des ressources publiques

C’est une situation surréaliste qui frappe des milliers d’Américains âgés : ils ont découvert que, pour l’administration, ils étaient morts alors qu’ils sont bien vivants. Depuis mars-avril 2025, de nombreux retraités et allocataires de la Social Security (Sécurité sociale américaine) voient soudain leurs pensions suspendues et leurs comptes bloqués, tout simplement parce qu’ils ont été radiés par erreur des registres officiels des vivants. À l’origine de ce fiasco : une initiative gouvernementale controversée pilotée par Elon Musk et surnommée DOGE (pour Department of Government Efficiency)​

L’équipe de Musk, chargée de traquer les paiements indus, a obtenu un accès aux bases de données de la Social Security et a entrepris de les « nettoyer » des bénéficiaires supposés décédés. Concrètement, les agents de la DOGE auraient contourné les protocoles de sécurité pour déplacer environ 4 millions de numéros de Sécurité sociale vers le fichier national des décès (Death Master File). Parmi ces millions de radiations figurent malheureusement de véritables vivants que la machine bureaucratique a « tués » par inadvertance.

Pourquoi une telle purge ? Elon Musk affirme depuis plusieurs mois que des millions d’Américains décédés continuent indûment de percevoir des prestations, ce qu’il juge emblématique du gaspillage public. Il a même avancé le chiffre extravagant de 20 millions de centenaires touchant une pension, alors qu’on ne recense qu’environ 100 000 centenaires aux États-Unis selon les statistiques de Pew Research.

Selon la base de données de la sécurité sociale, ce sont les nombres de personnes dans chaque tranche d'âge avec le champ de décès réglé sur FALSE !

Peut-être que Twilight est réel et qu'il y a beaucoup de vampires qui perçoivent des prestations de sécurité sociale 🤣🤣🤣🤣🤣.

According to the Social Security database, these are the numbers of people in each age bucket with the death field set to FALSE!

Maybe Twilight is real and there are a lot of vampires collecting Social Security 🤣🤣 pic.twitter.com/ltb06VX98Z

— Elon Musk (@elonmusk) February 17, 2025

Sur la foi de ces allégations (démenties par les statisticiens), la DOGE a mis sur pieds une unité chargée de traquer fraudes et « morts-vivants » dans l’administration. En mars 2025, la DOGE a ainsi annoncé avoir identifié et supprimé d’un coup 3,2 millions de noms de la base de la Social Security – tous présentés comme âgés de plus de 120 ans – en les marquant « décédés ».

« Ces deux dernières semaines, @SocialSecurity a procédé à un important nettoyage de ses dossiers. Environ 3,2 millions de titulaires de numéros, tous répertoriés comme âgés de plus de 120 ans, ont été marqués comme décédés. Il reste encore du travail à faire », a déclaré l'agence dans un message sur X.

Mais très vite, des cas problématiques ont émergé : des bénéficiaires bien en deçà de 120 ans, bel et bien en vie, se sont retrouvés accidentellement rayés des listes.

Des conséquences dramatiques pour les « morts administratifs »

Pour les personnes touchées, être déclaré mort à tort par l’État est loin d’être anodin : « Quand ils vous enregistrent comme décédé, c’est toute votre vie qui s’arrête. Ça bloque vos paiements de voiture, vos crédits, votre identité est signalée… » explique un employé de la Social Security, décrivant l’enchaînement catastrophique qui frappe ces victimes​.

Du jour au lendemain, les versements mensuels cessent, l’accès aux comptes bancaires est coupé et les couvertures de santé comme Medicare sont annulées. Richard VanMetter, un physicien retraité de 76 ans, a ainsi découvert en février 2025 que le gouvernement l’avait déclaré mort lorsqu’il a voulu payer un simple sandwich et que sa carte bancaire a été refusée. « J’ai appelé ma banque, qui m’a dit que l’administration avait informé tous les organismes financiers que j’étais décédé », raconte-t-il au Washington Post. L’État avait même repris le dernier chèque de pension versé et coupé sa retraite à venir.

Il s'est rendu dans un bureau de la sécurité sociale où il passait ses vacances et a dit à l'agent de sécurité : « Bonjour, je suis mort ». La réponse qu'il a reçue a été : « Encore un ». Il dit avoir eu de la chance parce qu'il avait son passeport sur lui et que le bureau où il s'est rendu était réactif et bien pourvu en personnel. VanMetter se bat encore pour récupérer ses prestations : « C’est le fléau de mon existence », confie-t-il désabusé.

When government thinks you’re dead, it makes things hard - and DOGE may make it worse. Musk’s team has moved millions of Social Security numbers into the agency's deaths database, raising the risk of errors, by @MerylKornfield @FedGirlWaPo @hannah_natanson https://t.co/0twTSB1N7H

— Juliet Eilperin (@eilperin) April 23, 2025

Partout dans le pays, des scènes ubuesques se répètent : des seniors se présentent en personne aux guichets de la Social Security avec pièce d’identité à la main pour clamer « Je ne suis pas mort, je suis bien vivant ! » Chaque bureau local doit entamer une procédure de « résurrection » administrative pour retirer ces citoyens de la liste des morts. « On va devoir ressusciter beaucoup de monde », anticipe ironiquement Rennie Glasgow, analyste technique depuis 15 ans à la Social Security. Il décrit un processus long de 3 à 4 jours en moyenne pour rétablir quelqu’un dans ses droits, tant le système est lourd : « Ce n’est pas aussi simple que de décocher une case ‘vivant’. On a parfois l’impression de devoir reconstruire tout le dossier informatique de la personne​ ».

En attendant, les intéressés restent sans revenus. Certains retraités modestes se retrouvent en grande détresse financière du fait de quelques jours de retard de pension. « Nous voyons tous les jours des gens venir avec leur carte d’identité dire qu’ils sont vivants, et en attendant ils se demandent comment ils vont manger le lendemain » témoigne un agent, soulignant l’angoisse de ces aînés privés de ressources​.

Des erreurs similaires en France dues à de simples fautes de frappe

Ce type d’erreur administrative kafkaïenne n’est pas propre aux États-Unis. En France, on recense régulièrement des cas de personnes déclarées mortes par méprise ou victimes de graves bévues dues à de banals fautes de frappe ou de saisie. Deux exemples récents illustrent comment une simple coquille peut bouleverser des vies et quelles mesures ont été prises pour y remédier.

Pension suspendue pour une retraitée « décédée » par erreur

En décembre 2024, Martine, 72 ans, une retraitée de Savoie, a eu la stupeur d’apprendre que l’administration la considérait comme morte depuis un mois et demi. Elle s’en est rendu compte en constatant que sa pension de retraite ne lui était plus versée. En réalité, Martine avait été confondue avec sa cousine décédée peu de temps auparavant : en gérant les démarches administratives liées au décès de cette cousine, son nom aurait été enregistré par erreur dans le fichier des personnes décédées.

Conséquence immédiate, la septuagénaire a dû prouver qu’elle était bien en vie pour recouvrer son dû. « Madame, vous êtes déclarée décédée… » lui a-t-on annoncé au guichet, alors même qu’elle parlait au fonctionnaire.

Pendant des semaines, Martine a multiplié les démarches et attestations pour être « ressuscitée » administrativement. Elle a fini par obtenir gain de cause et le versement de sa pension a repris, non sans difficultés. Son cas est loin d’être isolé : sur les deux dernières années, au moins une douzaine de Français ont été déclarés morts à tort de la même manière​.

Jean Poulain, retraité normand de 75 ans, a par exemple reçu un courrier officiel lui demandant… son propre acte de décès. « On suppose que je suis mort, et tout se retrouve bloqué : comptes bancaires, mutuelle, remboursement sécu… tout est bloqué », s’est indigné Poulain, qui a dû lui aussi prouver qu’il était bien en vie pour débloquer la situation. D’après la Caisse d’assurance retraite (Carsat), l’erreur provenait d’un agent administratif ayant saisi une mauvaise information informatique – une simple erreur humaine en somme.

Dans d’autres cas, c’est un homonyme décédé qui est en cause. « À l’origine de ces couacs : une erreur informatique commise par un agent, ou encore parfois une confusion avec une personne ayant le même nom », résume ainsi un responsable interrogé par TF1. Une fois l’erreur admise, les caisses procèdent généralement à la réactivation du dossier et au rattrapage des paiements manqués. Aucune sanction n’est prise contre les usagers victimes de ces erreurs, qui reçoivent parfois des excuses officielles.

Licencié pour être « mort » : l’erreur qui a coûté son emploi à un agent de sécurité

Un autre cas emblématique s’est produit en 2024 hors du champ de la Sécurité sociale, dans le domaine des titres de séjour et autorisations de travail. Augusto Gomes, 54 ans, agent de sécurité dans l’Oise, a appris avec effarement que pour l’administration il était décédé… depuis 2016. Huit ans que cet employé travaillait normalement, payait ses impôts, sans se douter qu’une erreur de traitement informatique l’avait entre-temps « tué » dans une base de données

L’affaire a éclaté lorsqu’il a voulu renouveler sa carte professionnelle d’agent de sécurité auprès du CNAPS (Conseil national des activités privées de sécurité) : sa demande lui a été refusée au motif que le titulaire était mort​.

En réalité, il semble qu’une faute de saisie administrative ait associé son dossier à celui d’une personne décédée du même nom, ou bien que son statut de résident étranger ait été mal mis à jour. Quoi qu’il en soit, les conséquences pour Augusto ont été drastiques : licenciement immédiat. Son employeur n’avait légalement pas le droit de garder à son poste quelqu’un que les registres de l’État déclaraient décédé. « Dès lors que le CNAPS refuse la carte professionnelle d’un agent de sécurité, nous sommes contraints de mettre un terme à son contrat », a expliqué son directeur – ajoutant que si la situation était régularisée, il serait réembauché sans problème.

S’ensuit pour Gomes un véritable parcours du combattant administratif. « J’ai tout de suite envoyé à la préfecture une soixantaine de documents – bulletins de salaire, avis d’imposition – pour prouver que j’étais bien vivant » raconte-t-il​. Faute de réponse pendant des mois, il a fini par médiatiser son histoire en août 2024, redoutant de ne plus pouvoir rembourser son prêt immobilier ni faire vivre sa famille​.

Finalement, la préfecture de l’Oise l’a reçu et lui a délivré un récépissé de titre de séjour provisoire lui permettant de reprendre son travail​.

Augusto Gomes attend toujours la correction définitive de son statut dans les systèmes de l’État, mais il a pu être « réanimé » sur le plan professionnel. Cette affaire a poussé les autorités à plus de vigilance : le CNAPS a indiqué avoir revu ses procédures de vérification pour éviter qu’un tel cas ne se reproduise, et la préfecture a présenté ses excuses à Gomes (tout en évoquant « une regrettable erreur matérielle »).

Sources : Pew Research, Le Parisien

Et vous ?

Quelles mesures devraient être mises en place pour empêcher de telles erreurs massives dans la gestion des données de la Sécurité sociale ?

L'incident pourrait-il remettre en cause l'efficacité de la politique de réduction des coûts dans les administrations publiques, ou est-ce un mal nécessaire pour moderniser l’État ?

Les autorités doivent-elles repenser leur approche de l’automatisation dans des domaines aussi critiques que la gestion des retraites et de la sécurité sociale ?

Pourquoi les erreurs administratives dues à des fautes de saisie sont-elles encore aussi fréquentes dans les systèmes publics, malgré les progrès technologiques ?

Les « résurrections administratives » sont-elles suffisamment rapides et efficaces pour éviter les lourdes conséquences financières et psychologiques sur les victimes de telles erreurs ?

Le manque de responsabilité ou de sanctions à l'égard des erreurs administratives ne crée-t-il pas un sentiment d’impunité qui nuit à la qualité des services publics ?

[Anthony]

« Absolument indigné » : L'ancien fonctionnaire de la cybersécurité Chris Krebs, visé par le président Donald Trump, s'exprime après les coupes dans la défense cybernétique des États-Unis

Chris Krebs, l'ancien responsable de la cybersécurité du gouvernement que le président Donald Trump a ciblé pour une enquête, car il avait affirmé l'intégrité de l'élection de 2020, s'est dit « indigné » par le fait que l'administration Trump a vidé de sa substance le personnel chargé de la cybersécurité des États-Unis. C'est la première fois que Chris Krebs s'exprime en public depuis que Donald Trump a demandé au ministère de la Justice de prendre des mesures à son encontre.

Pour rappel, le DOGE d'Elon Musk a fait l'objet de vives critiques pour avoir démantelé de l'intérieur les défenses cybernétiques des États-Unis sous prétexte de faire des économies. Les coupes budgétaires et les licenciements massifs au sein de la CISA ont failli provoquer l'effondrement la base de données critique CVE, tandis que des responsables clés de la cybersécurité ont été licenciés et des agences entières dissoutes, ce qui a incité les experts à mettre en garde contre de graves risques pour la sécurité nationale.

Lors de la récente RSA Conference à San Francisco, une conférence sur la cybersécurité, Chris Krebs a critiqué la seconde administration Trump pour ses coupes répétées dans les effectifs, les contractants et les programmes de cybersécurité, sous les applaudissements d'une foule généralement réservée de professionnels du secteur.

« La cybersécurité, c'est la sécurité nationale. Nous le savons tous, n'est-ce pas ? C'est la raison pour laquelle nous sommes ici. C'est pourquoi nous nous levons tous les matins pour faire notre travail. Nous protégeons tout le monde. Et aujourd'hui, quand on voit ce qui arrive à la communauté de la cybersécurité au sein du gouvernement fédéral, on ne peut qu'être indigné. Absolument indignés », a déclaré Chris Krebs lors de l'événement.

Depuis janvier, l'administration Trump a procédé à des coupes répétées dans le personnel chargé de la cybersécurité. Elle a demandé à l'agence dirigée par Chris Krebs pendant la première administration de Donald Trump, l'Agence de cybersécurité et de sécurité des infrastructures (CISA), de réduire le nombre d'employés stagiaires et de comités consultatifs, et elle a envoyé deux séries de courriels encourageant les employés à partir à la retraite.

Le ministère de la sécurité intérieure, qui supervise la CISA, a confirmé des séries de réductions.

Dans un communiqué, un porte-parole du ministère de la sécurité intérieure a déclaré qu'« au fil des ans, la CISA s'est éloignée de sa mission principale, à savoir la défense contre les menaces liées à la cybersécurité et la protection des infrastructures critiques ».

Le mardi 29 avril, la secrétaire d'État au ministère de la sécurité intérieure, Kristi Noem, devrait exposer sa vision de la CISA et de la cybersécurité lors d'une intervention à la conférence.

Chris Krebs a déclaré qu'au vu d'une série de grandes campagnes de piratage récentes que le gouvernement américain et les entreprises de cybersécurité ont attribuées à la Chine - surnommées Salt Typhoon, Volt Typhoon et Flax Typhoon -, les États-Unis devraient investir davantage dans le personnel chargé de la cybersécurité.

« Je comprends les arguments politiques selon lesquels nous essayons de réduire la taille du gouvernement, de le rationaliser. Mais lorsque Volt Typhoon, Salt Typhoon, Flax Typhoon, etc. frappent chaque jour à notre porte, nous n'avançons pas », a-t-il déclaré.

« Nous avons besoin de plus de cyber-commandement, de plus de personnes à la NSA qui collectent des informations, de plus de défenseurs de première ligne, de chasseurs de menaces, de membres des équipes rouges, de personnes qui se contentent de faire de l'administration de système, les choses de base. Nous avons besoin de plus de choses, pas de moins. C'est ce que je propose : Redonnez à la CISA ses lettres de noblesse », a-t-il déclaré.

Chris Krebs s'est imposé comme un leader populaire à la fois parmi les membres du personnel de la CISA et dans l'industrie de la cybersécurité, où il travaillait jusqu'à récemment. Donald Trump a notamment annulé les habilitations de sécurité de la société SentinelOne, où il a travaillé jusqu'à sa démission ce mois-ci.

Le lundi 28 avril également, l'Electronic Frontier Foundation, une organisation à but non lucratif de défense des droits numériques, a publié une lettre ouverte défendant Chris Krebs, bien qu'elle n'ait compté initialement que quelques dizaines de signataires et qu'aucun ne représente les principales entreprises de cybersécurité.

L'un des signataires, Katie Moussouris, PDG d'une petite entreprise de cybersécurité, Luta Security, a déclaré que l'industrie soutenait généralement Chris Krebs, mais qu'elle craignait d'irriter l'administration Trump.

« Tout le monde ressent la même chose que moi. Personne n'est autorisé à dire quoi que ce soit officiellement », a-t-elle déclaré.

La récente remarque de Chris Krebs fait suite à la dissolution par l'administration Trump d'organes consultatifs clés du département de la Sécurité intérieure, dont le Cybersecurity Review Board, juste après l'investiture de janvier. Ce comité, composé d'experts des secteurs public et privé, avait évalué des cyberattaques majeures telles que Salt Typhoon. Son arrêt brutal a alarmé les analystes dans un contexte d'escalade des menaces de la part d'adversaires tels que la Chine et la Russie.

Pour aggraver encore les inquiétudes des experts, Donald Trump a nommé Sean Cairncross au poste de directeur national de la cybersécurité, malgré son manque d'expérience dans le domaine. Cette décision illustre une tendance plus large dans laquelle la loyauté politique semble l'emporter sur les qualifications professionnelles, ce qui soulève des questions quant à l'engagement de l'administration Trump à protéger l'infrastructure numérique stratégique des États-Unis.

Source : Chris Krebs, lors de la conférence RSA à San Francisco

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous la position de Chris Krebs pertinente ou crédible ?

Voir aussi :

L'administration Trump a supprimé plusieurs millions de dollars de financement fédéral pour deux initiatives en matière de cybersécurité, dont une visant à aider les autorités électorales des États et localités

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a prolongé son contrat pour le programme CVE (Common Vulnerabilities and Exposures) géré par MITRE

L'administration Trump veut passer à la cyberoffensive contre la Chine : "Nous devons lancer l'offensive et commencer à imposer des coûts et des conséquences plus élevés aux acteurs États-nations"

[JPLAROCHE]

TRÈS TRISTE TOUT ÇA

[Prox_13]

Remplacer les gros ordinateur IBM VM/CMS JCL TSO ISP qui sont très performants, par des mini ordinateurs en migrant le COBOL vers du 'C/C++', risque d'être problématique du point de vue sécurité mais aussi en performance. C'est selon moi, peu réaliste.

Je te rassure, nous sommes entièrement d'accord. Les "quelques programmes" que je cite ne sont pas représentatifs d'un ERP, et la majeure partie du code COBOL est transformé vers un autre langage qui va te donner de bonnes raisons d'être horripilé; Du Python.

Ce problème existe aussi dans les banques où l'on ne sait plus trop comment fonctionner des pans entiers de codes COBOL car il n'y a pas ou plus de documentations pour expliquer ce que ça fait réellement. Sans compter, le nombre considérable d'intervenant qui ont modifié le code, pas toujours d'une bonne manière. Bonjour pour faire une retroingérierie qui sera extrêment complexe, sans rien apporter de bénéfique au final.

-Les performances du code COBOL sont impressionnantes comparées aux alternatives proposées.

Entièrement d'accord. Donc pourquoi changer quelque chose qui fonctionne parfaitement ?

Les deux problèmes se recoupent;

Transcoder des règles de gestion déjà inutiles en COBOL vers un langage peu efficace comme le Python est d'un part chronophage et inefficient en performance (si la procédure est utilisée).
Engager des développeurs COBOL en 2025 est couteux; Continuer de maintenir le systeme dans ce langage c'est l'assurance de tomber en pénurie de budget ou de main d’œuvre.

En tout cas, j'essaie de me mettre dans les bottes des personnes en charge de la migration du système pour y voir ces points, ca ne veut pas dire que je tombe d'accord avec la solution retenue.

J'ai réagit sur le fait que le COBOL n'est pas apparu avant guerre mais en 1959.
J'ai connu la fin des perforatrice et des cartes perforées pour écrire un programme. Le seul point positif est qu'à l'époque, on savait programmer car la place manquait et il fallait jongler dans des techniques qui ont totalement disparu aujourd'hui pour gérer la mémoire. C'est comparable entre la règle à calcule et les approximations que l'on faisaient à l'époque et l'avènement aujourd'hui des calculatrices et des ordinateurs qui nous ont simplifié grandement la tâche. Mais croire que la tâche sera plus simple de remplacer le COBOL est selon moi une erreur.

Je me doutais que tu avais une chose intéressante a dire sous cette remarque. Et encore une fois, nous tombons d'accord sur le fait que le COBOL sera difficilement remplaçable, de surcroit par une couche de Python.

[Artemus24]

J'ai fait mon activité professionnel dans les banques et un peu dans les assurances, au travers des SSII (ESN aujourd'hui). Le principale langage que j'ai utilisé est bien le COBOL que je trouve adapté pour de la gestion.

et la majeure partie du code COBOL est transformé vers un autre langage qui va te donner de bonnes raisons d'être horripilé; Du Python.

Cela va dépendre de ce que l'on fait avec. Une grosse partie du développement en gestion est destiné à faire de la présentation de résultats, comme des états.
Par contre, c'est d'une stupidité si c'est le cœur même du métier car la performance n'est pas au rendez-vous, sans parler de la précision dans les calculs.

Engager des développeurs COBOL en 2025 est couteux; Continuer de maintenir le système dans ce langage c'est l'assurance de tomber en pénurie de budget ou de main d’œuvre.

Je veux bien, mais tout réécrire couterait encore plus cher. Un des aspects que l'on maitrise le moins est justement la maintenance, que ce soit aujourd'hui, ou dans dix ans. Qui dit que le python sera encore d'actualité ? Et par quoi va-t-on le remplacer ? On va se retrouver avec un système totalement hétérogène ou plus personne n'osera mettre son nez dedans de peur de tout casser.

[Prox_13]

Je ne préfère pas réveler le coeur de métier du système, par sécurité, ce serait possible de retrouver qui je suis ou pire, l'entreprise dans laquelle je travaille

Cela va dépendre de ce que l'on fait avec. Une grosse partie du développement en gestion est destiné à faire de la présentation de résultats, comme des états.
Par contre, c'est d'une stupidité si c'est le cœur même du métier car la performance n'est pas au rendez-vous, sans parler de la précision dans les calculs.

Je suis peut-être a côté de la plaque par rapport à mes supérieurs hiérarchiques qui prennent ces décisions sur les technologies a adopter, mais le but est clair comme du cristal de roche :
Il faut remplacer tout code COBOL par du Python, par principe de facilité de maintenance. (Y compris les programmes-clés qui gèrent la majeure partie de la production.)

Personnellement, je serais plus d'avis de garder un cœur COBOL et un interfaçage en Python, ce qui permettrait de profiter des performances de COBOL, et comme tu le soulignes, la souplesse du Python. (Et sa modernité, car faire communiquer du COBOL avec des -nouvelles- technologies web est parfois complexe)

Je veux bien, mais tout réécrire couterait encore plus cher. Un des aspects que l'on maitrise le moins est justement la maintenance, que ce soit aujourd'hui, ou dans dix ans. Qui dit que le python sera encore d'actualité ? Et par quoi va-t-on le remplacer ? On va se retrouver avec un système totalement hétérogène ou plus personne n'osera mettre son nez dedans de peur de tout casser.

Pour les 5 ans qui viennent, nous avons encore la chance d'avoir les anciens druides COBOL pour guider la migration. Après ça, c'est un saut de l'ange sur les questions que tu viens d'aborder.

[Artemus24]

Il ne faut pas croire qu'il y a un consensus au niveau des entreprises pour le choix des langages. Chacun fait comme il lui plait, d'où une hétérogénéité en France dans une même corps de métier (bancaire, assurance).

Comme je l'ai dit, l'avantage du COBOL repose sur le "COMP-3" que l'on nomme le format "packed decimal" où l'on utilise la représentation DCB (décimal codé binaire). Je ne suis plus très au courant de ce qui se fait dans les langages d'aujourd'hui. Ce n'est plus trop mon centre d'intérêt. Mais avons encore nous ce type de format dans Python ? La précision doit être absolue dans le domaine bancaire, et non faire des arrondis.

Il faut remplacer tout code COBOL par du Python, par principe de facilité de maintenance. (Y compris les programmes-clés qui gèrent la majeure partie de la production.)

Remplacer le COBOL, cela se comprend aisément puisqu'il y a de moins en moins de compétences en ce domaine sur le marché du travail. Ce langage n'est plus enseigné à l'école. Donc, comment résoudre ce problème ? La solution la plus basique est de migrer vers un nouveau langage qui répond aux attentes de coûts de la maintenance. Oui, mais, où trouver la compétence du corps de métier du client ? Cela ne va pas se faire aussi facilement qu'on veut le croire. Il y a surtout le problème de la sécurité, qui est cruciale, mais aussi celui des performances. Je me rappelle que faire tourner sur des mini ordinateurs prenait pour valider une journée, un peu plus de 24 heures. C'était à l'époque dans une phase de mise au point, et les performances n'étaient pas du tout au rendez-vous. C'était il y a un peu plus de vingt-cinq ans.

Il ne faut pas s'engouffrer dans un langage parce qu'on le connait et qu'il existe partout de la compétence. En premier lieu, je trouve idiot d'utiliser un langage interprété au lieu d'un langage compilé. Ensuite, y-a-t-il un quelconque format "packed decimal" dans le langage choisit ? Quelles sont les performances et surtout quelle machine va-t-on faire les traitements de production ? Et la sécurité dans tout ça ?

Je ne parle ici que du cœur du métier, pas de ce qui est à la périphérie, ce qui complexifie le système d'information. On peut aussi se demander si les gros systèmes comme IBM sont encore fait pour ce type de traitement.

Je ne suis plus trop dans le coup, et je ne sais pas ce qui se fait de mieux en ce domaine.

[Guesset]

Bonjour,

Les langages interprétés sont très biens pour développer rapidement la glue des appels de fonctions de bibliothèques écrites dans un langage compilé (en général C ou C++). Les utiliser intégralement pour des projets de grandes tailles n'est pas très pertinent car ils sont aussi peu performants qu'ils sont faciles à mettre en œuvre. Ce n'est pas un problème intrinsèque au langage mais au type d'outil qui le transforme en exécutable.

Jadis on utilisait le DCB non pas pour la seule précision mais parce que les processeurs savaient les traiter en natif et que les valeurs restaient lisibles humainement ce qui n'est pas le cas des codes binaires.
Aujourd'hui on utiliserait des types à virgules fixes qui sont en fait des entiers sur lesquels on plaque une virgule à une position donnée. Ce n'est pas lisible humainement mais ce n'est plus un problème. Et la taille est plus économique que le DCB qui utilise 4 bits par décades donc 36 bits pour 1 milliard contre 30 bits en binaire. De plus les temps de calcul sont très rapides ce qui ne serait pas le cas s'il fallait émuler le DCB.

Salutations

[Heaven_4u]

Est-ce que nous avons la mémoire courte?

On a juste à penser au travail énorme de réécriture de code fait pour le fameux bug de l'an 2000.

Je fairais un cours de refresher dans cette techno main frame et Cobol pour finir ma carriere comme consultant Cobol. Ca serait payant j'en suis sur

[Bruno]

L'ordinateur d'un ingénieur logiciel de la DOGE infecté par un logiciel malveillant de vol d'informations,
les cybercriminels capturent frappes clavier et données d'écran

L’embauche controversée d’Edward Coristine, un jeune employé de 19 ans lié au groupe cybercriminel « The Com », puis son licenciement pour fuites de données, avaient déjà exposé les graves lacunes de recrutement et de sécurité du DOGE. Ces dysfonctionnements se confirment avec l’affaire Kyle Schutt, ingénieur de la CISA et du DOGE, dont les identifiants ont fuité à plusieurs reprises via des stealers, révélant des négligences critiques en cybersécurité. Si ces compromissions ne prouvent pas directement un piratage des systèmes sensibles auxquels il avait accès, elles soulignent une culture institutionnelle laxiste, notamment dans la gestion des mots de passe, mettant en danger des infrastructures pourtant vitales. Ces incidents successifs interrogent sur l’efficacité réelle des protocoles de sécurité au sein des agences fédérales.

Un lanceur d'alerte du National Labor Relations Board, Daniel Berulis, a révélé que des membres du DOGE auraient illégalement accédé aux systèmes informatiques de l'agence, entraînant la fuite de données sensibles. Ces allégations s'appuient sur des preuves concrètes, dont des modifications suspectes des protocoles de journalisation et des transferts de données massifs.

Cette affaire s'inscrit dans un contexte plus large de graves dysfonctionnements au sein des agences gouvernementales. De nombreux experts dénoncent une culture institutionnelle marquée par la négligence et l'inaction, où les failles de sécurité persistent malgré les alertes répétées. Certains observateurs vont jusqu'à suspecter une forme de complicité passive avec des acteurs malveillants, alimentant une crise de confiance croissante.

Les déclarations sous serment de Berulis détaillent des faits particulièrement troublants. Environ 10 gigaoctets de données confidentielles, incluant des informations sensibles sur les activités syndicales et des secrets commerciaux, auraient été exfiltrés des serveurs du NLRB. Plus inquiétant encore, des tentatives de connexion depuis une adresse IP russe utilisant des identifiants valides ont été enregistrées, bien que bloquées in extremis.

Elon Musk au DOGE : réforme technocratique ou machine à espionner les syndicats ?

L'intervention du DOGE au NLRB au début du mois de mars 2025 soulève de sérieuses questions. Sous la direction d'Elon Musk, conseiller de la Maison Blanche, des équipes se sont présentées au siège de l'agence indépendante, prétextant un audit d'efficacité. Leur véritable objectif semblait cependant être l'accès aux systèmes contenant des informations hautement sensibles sur les mouvements syndicaux et les entreprises.

Ces événements mettent en lumière des pratiques administratives pour le moins douteuses. Le recours à des prétextes bureaucratiques pour justifier ce qui ressemble à une opération d'espionnage interne interroge profondément sur les méthodes et les intentions réelles du DOGE. Derrière le discours officiel d'optimisation se cacherait une volonté de contrôle informationnel aux implications potentiellement graves pour les libertés publiques.

Les comptes d'un employé de la CISA et du DOGE (Département de l'efficacité gouvernementale) ont été compromis à plusieurs reprises, comme en témoignent ses identifiants de connexion divulgués dans des fuites liées à des stealers, des logiciels malveillants spécialisés dans le vol de données. Ces fuites, survenues à différentes périodes, confirment que ses appareils personnels ou professionnels ont été piratés ces dernières années, exposant potentiellement des systèmes sensibles. D'après les investigations du journaliste Micah Lee, les identifiants de Kyle Schutt sont apparus à quatre reprises depuis 2023 dans des logs de stealers. Ces malwares s'infiltrent généralement via des applications piégées, des campagnes de phishing ou des vulnérabilités logicielles. Une fois installés, ils capturent non seulement les mots de passe, mais aussi les saisies clavier et les contenus affichés à l'écran, transmettant ces données à des cybercriminels avant qu'elles ne filtrent parfois dans des bases publiques.

Lee souligne toutefois l'incertitude entourant ces compromissions : « Impossible de déterminer précisément quand ou combien de fois ses appareils ont été infectés. Les logs disponibles pourraient refléter des piratages anciens ou récents. » Cette opacité complique l'évaluation des risques concrets pour les institutions concernées. Les fuites remontent loin : le compte Gmail de Schutt a été exposé dans 51 violations répertoriées par Have I Been Pwned, incluant des brèches majeures comme celles d'Adobe (2013, 3 millions de comptes), LinkedIn (2016, 164 millions d'utilisateurs) ou Gravatar (2020, 167 millions de victimes). Si Lee précise que ces fuites ne prouvent pas une négligence individuelle (elles résultent souvent de failles chez les fournisseurs de services), elles révèlent une accumulation préoccupante d'identifiants exposés sur une décennie.

Le danger réside dans la possible réutilisation de ces mots de passe. Si Schutt a employé des combinaisons identiques ou similaires pour accéder aux systèmes de la CISA ou du DOGE, des attaquants auraient pu infiltrer des réseaux protégés. Les logs analysés par Lee attestent en tout cas qu'au moins un de ses appareils a bel et bien été compromis.

Cette affaire s'ajoute à une série de dysfonctionnements en matière de sécurité au sein du DOGE, critiqué pour des erreurs opérationnelles flagrantes, comme un site web modifiable par tout internaute ou un accès excessivement permissif à des données fédérales sensibles. Pour certains observateurs, ces négligences répétées interrogent : incompétence systémique ou négligence délibérée ? L'absence de mesures correctives robustes laisse planer le doute.

L'affaire Schutt, symptôme d'une cybersécurité gouvernementale à la dérive

L'exposition répétée des identifiants d'un ingénieur de la CISA et de la DOGE révèle une faille béante dans la cybersécurité gouvernementale. Ces incidents ne sont pas de simples accidents, mais le résultat d'une culture institutionnelle laxiste où les protocoles élémentaires de sécurité semblent ignorés. Qu'un employé ayant accès à des systèmes sensibles puisse voir ses données fuiter à plusieurs reprises, parfois sur une décennie, démontre un manque criant de contrôles et de formation. Cette négligence est d'autant plus grave qu'elle concerne des agences dont la mission est précisément de protéger les infrastructures critiques du pays.

Les implications politiques de ces failles sont tout aussi préoccupantes. Comme le soulignent certains commentaires, les divisions partisanes au Congrès entravent toute réforme significative, transformant la sécurité nationale en enjeu politique. L'incapacité à mettre en place des mesures correctives robustes alimente les théories les plus inquiétantes, qu'il s'agisse de soupçons de complicité avec des acteurs malveillants ou de l'exploitation opportuniste de ces failles par des groupes hostiles. Dans un contexte géopolitique tendu, cette vulnérabilité persistante équivaut à une invitation au piratage.

Sur le plan technique, l'affaire Schutt illustre les dangers d'une gestion désinvolte des identifiants. La réutilisation de mots de passe entre comptes personnels et professionnels, l'absence apparente d'authentification forte et le partage de credentials montrent que les bonnes pratiques sont systématiquement ignorées. Ces erreurs, pourtant élémentaires, compromettent potentiellement l'intégrité de systèmes gouvernementaux entiers. Le fait que ces négligences persistent malgré les alertes répétées interroge sur l'efficacité réelle des mécanismes de contrôle internes.

Cette situation appelle une réponse à la hauteur des enjeux. Il ne s'agit plus de se contenter de mesures cosmétiques, mais d'engager une refonte complète des protocoles de sécurité, avec des audits indépendants, des sanctions dissuasives pour les manquements avérés et une véritable culture de la cybersécurité à tous les niveaux hiérarchiques. Tant que ces agences ne seront pas tenues à des standards stricts de transparence et de responsabilité, de nouveaux scandales similaires sont inévitables. L'affaire Schutt doit servir de signal d'alarme avant qu'un incident plus grave ne se produise.

Sources : Micahflee, Have I Been Pwned, Daniel Berulis

Et vous ?

Quelest votre avis sur le sujet ?

La réutilisation de mots de passe entre comptes personnels et professionnels est-elle tolérée malgré les risques ?

Pourquoi l’authentification multifacteur (MFA) et d’autres mesures basiques ne sont-elles pas systématisées ?

Voir aussi :

Un employé de la DOGE d'Elon Musk licencié pour des fuites de données a accès à des systèmes sensibles du gouvernement américain, il pourrait être lié à la communauté controversée de cybercriminels « The Com »

Un employé du DOGE d'Elon Musk a enfreint la politique du Trésor en envoyant par courriel des données personnelles non chiffrées à l'administration Trump, d'après un dépôt auprès du tribunal

Un employé du DOGE devenu conseiller au DOJ s'est vanté par le passé d'avoir piraté et distribué des logiciels piratés, ce qui accentue les inquiétudes concernant l'intégrité du personnel du DOGE

[_toma_]

Elon Musk au DOGE : réforme technocratique ou machine à espionner les syndicats ?

L'intervention du DOGE au NLRB au début du mois de mars 2025 soulève de sérieuses questions. Sous la direction d'Elon Musk, conseiller de la Maison Blanche, des équipes se sont présentées au siège de l'agence indépendante, prétextant un audit d'efficacité. Leur véritable objectif semblait cependant être l'accès aux systèmes contenant des informations hautement sensibles sur les mouvements syndicaux et les entreprises.

Ces événements mettent en lumière des pratiques administratives pour le moins douteuses. Le recours à des prétextes bureaucratiques pour justifier ce qui ressemble à une opération d'espionnage interne interroge profondément sur les méthodes et les intentions réelles du DOGE. Derrière le discours officiel d'optimisation se cacherait une volonté de contrôle informationnel aux implications potentiellement graves pour les libertés publiques.

En novembre 2024, spacex et amazon se sont retrouvées devant une cour de justice pour plaider l'inconstitutionnalité de la NLRB (l'équivalent de l'inspection du travail)
Pas de complot, juste des idées qui suivent leur cours.


https://next.ink/158528/amazon-et-sp...il-americaine/

[kain_tn]

L'ordinateur d'un ingénieur logiciel de la DOGE infecté par un logiciel malveillant de vol d'informations,
les cybercriminels capturent frappes clavier et données d'écran

Ah, ils utilisent Recall?