Un employé du DOGE aurait volé des données de sécurité sociale sur clé USB

Un Vigilant Fédéral Révèle une Violation de Données

Un membre du personnel travaillant sous le Département d'efficacité gouvernementale aurait copié des données sensibles de l'Administration de la sécurité sociale sur une clé USB personnelle, selon un nouveau rapport qui a intensifié l'examen du DOGE concernant l'accès aux systèmes fédéraux. La révélation intervient alors que plusieurs agences gouvernementales ont exprimé des préoccupations concernant le large accès aux données accordé au personnel du DOGE depuis la création de l'initiative.

L'incident a été identifié par un examen de surveillance interne qui a découvert que l'employé avait accédé à des bases de données contenant des informations d'identification personnelle pour des millions d'Américains. Les données auraient inclus des numéros de sécurité sociale, des registres de paiement et d'autres détails sensibles qui sont normalement soumis à des contrôles d'accès stricts au sein du gouvernement fédéral.

Comment la Violation s'est Produite

Selon le rapport, l'employé du DOGE a reçu un accès au niveau administratif aux systèmes SSA dans le cadre du mandat de l'initiative d'efficacité pour auditer les dépenses fédérales et identifier les gaspillages. Cependant, l'étendue de cet accès semble avoir bien dépassé ce qui était nécessaire pour la mission déclarée de réduction des dépenses gouvernementales.

Les sources familières avec l'affaire indiquent que les protocoles de cybersécurité standard ont été contournés dans la précipitation d'accorder l'accès du personnel du DOGE aux bases de données de l'agence. Normalement, accéder aux registres de la SSA nécessite plusieurs couches d'authentification, des vérifications d'antécédents spécifiques à l'agence et un suivi continu des transferts de données. Plusieurs de ces protections auraient été assouplies ou abandonnées pour le personnel du DOGE.

L'utilisation d'une clé USB personnelle est particulièrement alarmante pour les experts en cybersécurité. Les appareils de stockage amovibles figurent parmi les vecteurs les plus courants de violations de données dans les environnements gouvernementaux et d'entreprise, car ils peuvent facilement être perdus, volés ou utilisés pour transférer des données vers des systèmes non sécurisés.

Réponse du Congrès et Enjeux Juridiques

Les législateurs des deux côtés de l'allée ont exigé des réponses. Le Comité des finances du Sénat a annoncé qu'il tiendrait des auditions sur les pratiques d'accès aux données du DOGE, les membres de rang supérieur qualifiant l'incident de violation potentielle de la Privacy Act de 1974, qui régit la façon dont les agences fédérales collectent, conservent et diffusent les informations personnelles.

Les experts juridiques affirment que l'employé pourrait faire face à des accusations criminelles en vertu de la Computer Fraud and Abuse Act si le transfert de données était non autorisé ou dépassait le scope de son accès approuvé. La Privacy Act impose également des pénalités civiles et pénales pour la divulgation incorrecte de dossiers.

Plusieurs groupes de défense de la vie privée ont déposé des demandes Freedom of Information Act cherchant des détails sur les données auxquelles les employés du DOGE ont accédé dans toutes les agences fédérales, pas seulement la SSA. La Electronic Frontier Foundation a qualifié l'incident de conséquence prévisible de l'octroi d'un large accès au système sans surveillance adéquate.

Implications Plus Larges pour la Sécurité des Données Gouvernementales

La violation met en évidence une tension qui existe depuis la création du DOGE : le mandat de l'initiative pour auditer rapidement les opérations gouvernementales entre souvent en conflit avec l'approche réfléchie et centrée sur la sécurité que les agences utilisent pour protéger les données sensibles. Les systèmes informatiques fédéraux ont été conçus avec un accès cloisonné pour une bonne raison, et contourner ces protections introduit un risque systémique.

Les professionnels de la cybersécurité ont averti que même l'accès aux données en bonne intention peut créer des vulnérabilités. Une fois que les données quittent un environnement sécurisé sur un appareil portable, il devient pratiquement impossible de les suivre ou de les protéger. Les données de la SSA en question pourraient être utilisées pour l'usurpation d'identité, la fraude ou d'autres fins malveillantes si elles tombent entre les mauvaises mains.

La Social Security Administration dessert plus de 70 millions d'Américains qui reçoivent des prestations mensuelles, et ses bases de données figurent parmi les plus sensibles du gouvernement fédéral. Une compromission de ces données pourrait avoir des effets en cascade sur les systèmes financiers, les prestataires de soins de santé et d'autres institutions qui dépendent des numéros de sécurité sociale pour la vérification d'identité.

Que se Passe-t-il Ensuite

La SSA aurait lancé sa propre enquête interne aux côtés du bureau de l'inspecteur général. La direction du DOGE n'a pas commenté publiquement les allégations spécifiques, mais a précédemment défendu ses pratiques d'accès aux données comme nécessaires pour identifier des milliards de dollars de gaspillage et de fraude.

L'incident devrait alimenter les défis juridiques continus contre les opérations du DOGE. Plusieurs juges fédéraux ont déjà rendu des décisions remettant en question la légalité de l'accès du DOGE aux systèmes de certaines agences, et cette dernière révélation pourrait renforcer ces dossiers. Pour l'instant, la clé USB et son contenu restent le sujet d'une enquête fédérale en cours.

Cet article est basé sur des reportages de TechCrunch. Lisez l'article original.