Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Le site DOGE.gov n’est pas bien sécurisé

Quick & dirty (pluto)cracy

Le site DOGE.gov n’est pas bien sécurisé

Le service d'Elon Musk nommé DOGE a été créé pour être officiellement un « Département de l'Efficacité gouvernementale » avec des experts pour traquer les inefficacités dans l'administration. Mais son site, créé à la va-vite, n'est pas bien sécurisé et est inefficace pour présenter ce service.

Le 14 février à 11h32

Comme l'explique 404 Media, « tout le monde peut envoyer des mises à jour sur le site DOGE.gov », ou presque. En tout cas, deux personnes ont rapidement trouvé une vulnérabilité et l'ont partagée avec nos confrères. L'une d'entre elles a même créé deux pages sur le site du service dirigé par Elon Musk et censé traquer les mauvaises pratiques de l'administration étasunienne.

Ses experts ont débarqué dans les différents services et agences, et obtenu les accès à divers systèmes informatiques. Plusieurs plaintes en cours remettent d'ailleurs en cause les capacités légales de ce service à accéder à des données sensibles stockées dans ces systèmes. Mais, en ce qui concerne ses propres sites, ce service semble avoir des difficultés pour montrer ses talents.

Possibilité de créer des pages sur le site

En effet, l'une des personnes qui a signalé la vulnérabilité du site doge.gov à 404 Media a pu créer une page (archive) sur le site où il est publié « This is a joke of a .gov site » (« Ce site gouvernemental est une blague ») et une autre (archive) avec « THESE "EXPERTS" LEFT THEIR DATABASE OPEN - roro » (« CES "EXPERTS" LAISSENT LEUR BASE DE DONNÉES OUVERTE - roro »).

Plus généralement, doge.gov est un site dont la page d'accueil est essentiellement composée de la timeline de son compte X, réseau social possédé par Elon Musk, qui est aussi le responsable de ce service. Le lien vers la page « join » qui se trouve dans le menu de la page d'accueil renvoie, dans notre expérience, vers une page « Sorry, you have been blocked » gérée par Cloudflare.

Le DOGE est censé permettre à l'État américain de faire des économies, mais la page (archive) qui doit être dédiée à l'information sur celles-ci est quasiment vide. Une seule phrase s'affiche « les recettes seront bientôt disponibles, au plus tard le jour de la Saint-Valentin 💘 », aujourd'hui, donc.

Dans une conférence de presse donnée lundi 11 février dans le bureau ovale, Elon Musk avait déclaré : « Nous essayons d'être aussi transparents que possible. Nous publions nos actions sur le compte du DOGE sur X, et sur le site web de la DOGE. Toutes nos actions sont donc extrêmement transparentes [...] En fait, je ne pense pas qu'il y ait eu – je ne connais pas de cas où une organisation a été plus transparente que l'organisation DOGE ».

Un template Wordpress comme site internet de waste.gov

Un autre site hébergé sur le nom de domaine waste.gov (waste signifie déchets en anglais) a été créé par le DOGE. Celui-ci est maintenant bloqué par un mot de passe mais 404 Media a pu constater qu'un simple template Wordpress a été mis en ligne avec comme slogan « Waste.gov: Tracking government waste » (« Waste.gov : Suivi du gaspillage gouvernemental »). Il affichait une seule page d'exemple WordPress créée par défaut qui inclut un texte sur un cabinet d'architecture imaginaire.

Reuters expliquait la semaine dernière que la Maison Blanche avait enregistré deux nouveaux noms de domaines gouvernementaux : DEI.gov et Waste.gov dont l'objectif n'est pas clair, même si leurs noms montrent bien un lien avec l'agenda anti « gaspillage » et anti « diversité, équité et inclusion » du nouveau gouvernement de Donald Trump.

Commentaires (25)

votre avatar
Celui-ci est maintenant bloqué par un mot de passe mais 404 Media
Ils n'ont vu si il y avait une version espagnole du site ? :francais:

musk c'est l'expert SQL du jour : x.com Twitter

DEI.gov et Waste.gov dont l'objectif n'est pas clair
DEI.gov renvoie vers Waste.gov
votre avatar
Les champions 🤦‍♂️
votre avatar
Si Trump pouvait dire à Musk suite à cela sa phrase culte : you are fired !
votre avatar
Il ne peut pas. Cela voudrait dire qu'il n'a pas sélectionné le bon candidat pour le job. Et donc qu'il n'est pas apte à diriger, etc. Donc ce serait "You're still hired".
votre avatar
Ca a déjà été le cas y a qques jours. Un type propulsé directeur ajoint par interim du FBI a été affiché comme directeur, pas adjoint par le site de la maison blanche. Plutôt que d'admettre la bourde ils ont gardé le type sur ce rôle.
votre avatar
Driscoll (c'est son nom) a en prime demandé au gouvernement d'aller se faire cuire un œuf quand on lui a demandé la liste des agents qui ont enquêté sur la tentative de coup d'état du 6 janvier.
votre avatar
Si on n'était pas au courant qu'il s'agit des USA, on pourrait croire que ça se passe en Russie, en Hongrie ou en Turquie, bref un pays autocratique qui a depuis longtemps oublié la séparation des pouvoirs.

Ce n'est même pas un aveu à demi-mot de l'implication de Trump dans ce coup d'Etat, c'est une pleine et entière revendication qu'il y a trempé jusqu'au cou...
votre avatar
Sauf qu'apparemment ici, pour une fois, c'est une bourde plutôt positive... vu que le gars nommé par erreur informatique n'est pas un pro-Trump, au contraire, et il a fait ou fait encore tout ce qu'il peut avant de se faire gicler pour entraver et ralentir le bulldozer Trump qui lui cherche à tout écraser sur son passage...
votre avatar
Et pourtant durant son 1er mandant, durant les 4 ans, environ 60% de son administration est partie.

- la 1/2 a démissionnée avant dépression sévère & suicide

- l'autre 1/2 a été virée manu militari à coup de pied dans le cu...

Mention spéciale pour le directeur du FBI, James Comey , qui l'a appris à la TV et par SMS de ses (anciens) collègues. Du Trump, tout dans la finesse...

Ha oui James Comey avait aussi eu le malheur d'avoir autorisé des enquêtes sur une éventuelle collusion entre l'équipe de campagne de Trump et la Russie concernant la fuite des emails d'Hillary Clinton durant la campagne présidentielle de 2016.
:fumer:
votre avatar
Pire, il pourrait avec Matt aux fesses !
votre avatar
Lol. Ca n'aura pas été long avant que les forces rebelles s'attaquent aux bases de l'empire.

:duel1:

C'est du défacement sur des pages annexes et pas de la recup des données, mais ca reste drôle. :mdr:
Probabilité élevée que ca soit repris comme argument dans les plaintes contre le DOGE.
#popcorn
votre avatar
Mais quel génie ce Musky :francais:
votre avatar
DOdGE this!
votre avatar
Le problème quand on veut aller vite, c'est qu'il faut être irréprochable.
L'autre problème c'est que c'est que vitesse et sécurisation vont rarement bien ensemble.

Je n'ose imaginer le shitstorm qui va finir par arriver quand on voit la quantité de données sensibles qui ont été récupérées.
votre avatar
C'est pourtant la méthode Musk en application : on va vite et en cas de problème, on corrige.
votre avatar
Une fusée ou une telsa (à part les cas ou l'autopilot est buggé et que ça touche des vies humaines comme pour les airbag takara) c'est pas des données personnelles, quand le numéro de secu se retrouve dans la nature : next.ink Next il ne sera pas modifiable
votre avatar
De ce que je comprends, ce site est un site vitrine pour montrer leurs avancées. Il n'y a pas de données personnelles dessus.

En plus, je ne justifiais pas la méthode, je rappelais juste comment pense Musk.
votre avatar
En plus, je ne justifiais pas la méthode, je rappelais juste comment pense Musk.
Ça n'est pas propre à sa personne, ce sont les méthodo héritées de l'IT qui veulent délivrer vite et souvent. Hélas, elles confondent souvent vitesse et précipitation.
votre avatar
Il ne faut pas confondre méthode agile et méthode bourrin. Là, on est dans le bourrin, pas dans l’agile.
Et pour l’instant, il n’à encore rien livré (encore moins délivré).
votre avatar
C'est pas à moi qu'il faut le dire, mais à environ tous les chefs de projet et PO que j'ai connu dans ma carrière jusqu'ici.

Quand tu entends des hurlements d'agonie dès que tu parles de faire de la qualité, revue de code et analyse sécurité, tu comprends à quelle catégorie que tu as affaire.
votre avatar
Oui enfin du coup, c´est pas "les méthodes héritées de l´IT", mais plutôt celles héritées des donneurs d´ordres inconséquents.
votre avatar
C'est pourtant bien les méthodes que je subis dans l'IT :p
votre avatar
Je ne parlais pas seulement que du site qui n'est qu'un exemple de travail baclé qui sera certainement opérationnel d'ici quelques temps.

Mon propos est que comme tu l'as rappelé Musk à une méthode qu'il applique à l'ensemble de ses projets, or si cela ne pose pas de problème pour du matériel, quand on brasse des dizaines de millions de données personnelles potentiellement très sensibles, c'est peu compatible avec la sécurisation de celles ci.
votre avatar
La on est plus dans la précipitation qu'autre chose
votre avatar
The message "You've been blocked" vient du fait que jusqu'à très récemment le site avait imposé un blocage géographique total . J'avais testé plus d'une quarantaine de pays, SEULEMENT & UNIQUEMENT une IP @US permettait d'y accéder.

Apparemment maintenant ils (lui...) ont enlevé ce blocage sur le site sauf pour la section "Join" , qui je pense dans leurs idées, est réservée pour ceux qui ont la nationalité américaine et aimeraient postuler à un poste de cowboy au DOGE...

et sinon pour les américains qui vivent à l'étranger et aimeraient eux aussi postuler...? Ben ils n'ont qu'a utiliser un VPN...

D'ailleurs cette page s'ouvre parfaitement avec une IP US...

Le site DOGE.gov n’est pas bien sécurisé

  • Possibilité de créer des pages sur le site

  • Un template Wordpress comme site internet de waste.gov

Fermer