Le site DOGE.gov n’est pas bien sécurisé

Comme l'explique 404 Media, « tout le monde peut envoyer des mises à jour sur le site DOGE.gov », ou presque. En tout cas, deux personnes ont rapidement trouvé une vulnérabilité et l'ont partagée avec nos confrères. L'une d'entre elles a même créé deux pages sur le site du service dirigé par Elon Musk et censé traquer les mauvaises pratiques de l'administration étasunienne.

Ses experts ont débarqué dans les différents services et agences, et obtenu les accès à divers systèmes informatiques. Plusieurs plaintes en cours remettent d'ailleurs en cause les capacités légales de ce service à accéder à des données sensibles stockées dans ces systèmes. Mais, en ce qui concerne ses propres sites, ce service semble avoir des difficultés pour montrer ses talents.

Possibilité de créer des pages sur le site

En effet, l'une des personnes qui a signalé la vulnérabilité du site doge.gov à 404 Media a pu créer une page (archive) sur le site où il est publié « This is a joke of a .gov site » (« Ce site gouvernemental est une blague ») et une autre (archive) avec « THESE "EXPERTS" LEFT THEIR DATABASE OPEN - roro » (« CES "EXPERTS" LAISSENT LEUR BASE DE DONNÉES OUVERTE - roro »).

Plus généralement, doge.gov est un site dont la page d'accueil est essentiellement composée de la timeline de son compte X, réseau social possédé par Elon Musk, qui est aussi le responsable de ce service. Le lien vers la page « join » qui se trouve dans le menu de la page d'accueil renvoie, dans notre expérience, vers une page « Sorry, you have been blocked » gérée par Cloudflare.

Le DOGE est censé permettre à l'État américain de faire des économies, mais la page (archive) qui doit être dédiée à l'information sur celles-ci est quasiment vide. Une seule phrase s'affiche « les recettes seront bientôt disponibles, au plus tard le jour de la Saint-Valentin 💘 », aujourd'hui, donc.

Dans une conférence de presse donnée lundi 11 février dans le bureau ovale, Elon Musk avait déclaré : « Nous essayons d'être aussi transparents que possible. Nous publions nos actions sur le compte du DOGE sur X, et sur le site web de la DOGE. Toutes nos actions sont donc extrêmement transparentes [...] En fait, je ne pense pas qu'il y ait eu – je ne connais pas de cas où une organisation a été plus transparente que l'organisation DOGE ».

Un template Wordpress comme site internet de waste.gov

Un autre site hébergé sur le nom de domaine waste.gov (waste signifie déchets en anglais) a été créé par le DOGE. Celui-ci est maintenant bloqué par un mot de passe mais 404 Media a pu constater qu'un simple template Wordpress a été mis en ligne avec comme slogan « Waste.gov: Tracking government waste » (« Waste.gov : Suivi du gaspillage gouvernemental »). Il affichait une seule page d'exemple WordPress créée par défaut qui inclut un texte sur un cabinet d'architecture imaginaire.

Reuters expliquait la semaine dernière que la Maison Blanche avait enregistré deux nouveaux noms de domaines gouvernementaux : DEI.gov et Waste.gov dont l'objectif n'est pas clair, même si leurs noms montrent bien un lien avec l'agenda anti « gaspillage » et anti « diversité, équité et inclusion » du nouveau gouvernement de Donald Trump.