S'il y a un seul élément d'identification des données que vous ne voulez pas tomber entre de mauvaises mains, c'est votre numéro de sécurité sociale. C'est pourquoi les allégations récentes d'un dénonciateur sont si troublantes.
Le 26 août, Charles Borges, le directeur des données (CDO) à la Social Security Administration (SSA), a allégué que les employés de Doge (Efficience du gouvernement) avaient copié des données ultrasensibles à un serveur cloud qui ne répond pas aux normes gouvernementales pour protéger la confidentialité des données.
La plainte de dénonciation a été soumise par le projet de responsabilité du gouvernement.
La base de données qui a déclaré que Borges a été copiée contient des dossiers de chaque numéro de sécurité sociale que le gouvernement fédéral a délivré aux Américains, ainsi que des noms, des adresses et des dates de naissance.
Doge copie les données du cloud dans un projet « à haut risque »
Le Projet de responsabilité du gouvernement Aidé Borges à soumettre une divulgation de dénonciation protégée au bureau des conseils spéciaux, ainsi qu'aux comités du Congrès.
Dans la plainte de dénonciation, Borges allègue que les responsables de Doge employés par la SSA ont créé une copie en direct d'une base de données critique, connue sous le nom de fichier Nudent, dans un environnement cloud.
La plainte comprend les e-mails de John Solly, un ingénieur logiciel travaillant chez Social Security, qui a demandé à un employé de l'agence de carrière de faire la copie peu de temps après que la Cour suprême ait autorisé l'accès à Doge.
Le fichier Numident est une base de données avec plus de 548 millions de numéros de sécurité sociale, ainsi que les informations d'identification de tous ceux qui vivent ou morts qui ont déjà eu un numéro de sécurité sociale.
La plainte énumère également les allégations suivantes.
- L'environnement cloud virtuel sur le serveur d'agences internes n'était accessible que par les employés de Doge.
- Doge a été averti que la copie des données pourrait rendre les Américains vulnérables au vol d'identité, mais a quand même poursuivi le projet.
- Aucun audit vérifié ou mécanismes de surveillance n'était en place pour déterminer pour quoi les données étaient utilisées ou si elles ont été correctement sécurisées, et il n'y avait pas de surveillance de sécurité indépendante de l'environnement cloud.
- Doge a brièvement contourné une commande temporaire du 20 mars interdisant l'accès à certaines données de sécurité sociale.
- Les responsables de Doge ont contourné les procédures normales pour recevoir un accès « incorrect » à d'autres bases de données avec des informations sensibles.
La plainte comprenait une copie d'un e-mail de Joe Cunningham, le directeur de la sécurité de l'information par intérim de l'agence, avertissant que « après un examen approfondi, nous avons déterminé que cette demande (de copier les informations) présente un risque élevé ».
Risque potentiel des actions DOGE
La plainte de Borges montre que, malgré les problèmes de confidentialité, Cunningham a demandé et reçu l'approbation de Michael Russo, un haut responsable aligné par Doge, pour signer le projet de copie de la base de données du serveur cloud, bien qu'il ne soit clair que ses recommandations pour anonymiser les données personnelles n'avaient pas été suivies.
D'autres courriels ont révélé que les données avaient été transférées malgré les évaluations officielles de la sécurité avertissant que si elle était compromise, elle aurait un « impact catastrophique » sur les bénéficiaires de la sécurité sociale.
« J'ai déterminé que le besoin commercial est plus élevé que le risque de sécurité associé à cette mise en œuvre et j'accepte tous les risques », a écrit Aram Moghaddassi, directeur de l'information de la sécurité sociale, et un ancien employé d'Elon Musk chez X et Neuralink, dans un mémo du 15 juillet, comme l'a rapporté NPR.
Borges n'est pas d'accord avec cette évaluation. « Si les mauvais acteurs accéder à cet environnement cloud, les Américains peuvent être sensibles à un vol d'identité généralisé, pourraient perdre des soins de santé et des prestations alimentaires vitales, et le gouvernement peut être responsable de la réédition de tous les Américains un nouveau numéro de sécurité sociale à un coût élevé », a déclaré la plainte de Borges.
Aucune preuve d'une violation de données
Bien que les allégations de Borges soient sérieuses, la bonne nouvelle est qu'elle semble qu'aucune donnée n'a été compromise – du moins pas encore.
Nick Perrine, porte-parole de la SSA, a déclaré que l'agence n'était « pas au courant d'un compromis dans cet environnement », selon le New York Times.
Perrine a également défendu les mesures prises par Doge, déclarant: « La SSA stocke toutes les données personnelles dans des environnements sécurisés qui ont des garanties robustes en place pour protéger les informations vitales. Les données référencées dans la plainte sont stockées dans un environnement de longue date utilisé par SSA et ont clôturé de la surveillance de la SSA de haut niveau. »
Perrine a ajouté que l'agence était et restait « dédiée à la protection des données personnelles sensibles ».
Les enquêtes du Congrès peuvent donner un aperçu de la plainte de Borges.
Comment protéger vos données et votre identité
En attendant, c'est une bonne idée de suivre meilleures pratiques pour protéger contre le vol d'identité. Voici quelques étapes pour vous aider à protéger rapidement vos données.
- Vérifiez régulièrement votre rapport de crédit (c'est gratuit) et abordez toutes les erreurs ou comptes inconnus que vous trouvez.
- Envisagez de geler votre crédit pour empêcher l'utilisation de votre numéro de sécurité sociale et d'autres informations d'identification.
- Restez informé et lisez les dernières tendances du vol d'identité de 2025.
En savoir plus
- Ce que Trump a fait avec la sécurité sociale jusqu'à présent
- Huit façons dont Trump pourrait avoir un impact
- Six changements à la sécurité sociale en 2026