États-Unis : le DOGE a exfiltré des données sensibles de l’agence chargée du droit syndical

Daniel J. Berulis, un ingénieur de cybersécurité du National Labor Relations Board (NLRB), a averti le Sénat américain, le 14 avril 2025, que des employés du DOGE avaient exfiltré une grande quantité de données des SI de son organisation. Le NLRB est l’agence fédérale chargée du bon respect du droit syndical aux États-Unis. Elle s’oppose en cela régulièrement aux géants de la tech. Amazon et SpaceX, jugeant ses pratiques anticonstitutionnelles, l’ont ainsi attaqué en justice.

Le Department of Government Efficiency (DOGE) est une structure gouvernementale chargée de réduire la dépense publique. Mise en place en janvier 2025 par le président Donald Trump, elle est dirigée par Elon Musk. Selon Daniel J. Berulis, des employés du DOGE ont obtenu, le 3 mars 2025, le droit de créer des comptes « administrateur locataire » pour les SI du NLRB. Ils ont ainsi pu accéder à tous les serveurs et toutes les données de l’agence, sans aucune inscription de leurs activités.

Daniel J. Berulis a identifié que ces comptes avaient exfiltré au moins 10 Go d’informations,
« des données potentiellement sensibles, allant d’informations confidentielles sur les employés qui veulent former des syndicats à des informations commerciales exclusives ». Ni lui, ni ses collègues n’avaient les privilèges nécessaires pour vérifier quels fichiers avaient été transférés, ni où ils avaient été envoyés.

Daniel J. Berulis a également révélé plusieurs tentatives de connexion aux SI du NLRB à partir d’une adresse IP russe utilisant les identifiants d’un employé du DOGE. Le système informatique de l’agence a heureusement bloqué ces efforts d’intrusion. En mars 2025, le DOGE a par ailleurs licencié trois des cinq administrateurs du NLRB, empêchant de fait l’agence de fonctionner, le quorum de dirigeants n’étant plus atteint.