Incidents associés
L'été dernier, la directrice par intérim de l'agence américaine de cyberdéfense a téléchargé des documents contractuels sensibles sur une version publique de ChatGPT, déclenchant de multiples alertes de sécurité automatisées destinées à empêcher le vol ou la divulgation accidentelle de documents gouvernementaux sur les réseaux fédéraux, selon quatre responsables du Département de la Sécurité intérieure (DHS) informés de l'incident.
Cette erreur apparente de Madhu Gottumukkala est d'autant plus remarquable que la directrice par intérim de la CISA (Agence de cybersécurité et de sécurité des infrastructures) avait sollicité une autorisation spéciale auprès du Bureau du directeur des systèmes d'information de la CISA pour utiliser cet outil d'intelligence artificielle peu après sa prise de fonction en mai dernier, ont indiqué trois des responsables. L'application était alors bloquée pour les autres employés du DHS.
Aucun des fichiers que Mme Gottumukkala a importés dans ChatGPT n'était classifié, selon les quatre responsables, qui ont requis l'anonymat par crainte de représailles. Cependant, ces documents comprenaient des contrats de la CISA portant la mention « usage officiel uniquement », une désignation gouvernementale pour les informations considérées comme sensibles et non destinées à la diffusion publique.
Les capteurs de cybersécurité de la CISA ont signalé ces téléchargements en août dernier, ont indiqué quatre responsables. L'un d'eux a précisé que plusieurs alertes de ce type avaient été enregistrées dès la première semaine d'août. Selon deux des quatre responsables, de hauts responsables du DHS ont ensuite mené une enquête interne afin d'évaluer si ces fuites avaient porté atteinte à la sécurité gouvernementale.
Les conclusions de cette enquête restent inconnues.
Dans un communiqué transmis par courriel, Marci McCarthy, directrice des affaires publiques de la CISA, a déclaré que Gottumukkala « avait été autorisé à utiliser ChatGPT sous le contrôle du DHS » et que « cette utilisation était temporaire et limitée ». Mme McCarthy a ajouté que l'agence s'engageait à « exploiter l'IA et d'autres technologies de pointe pour moderniser l'administration et mettre en œuvre » le décret présidentiel de Trump visant à lever les obstacles au leadership américain en matière d'IA.
Le courriel semblait également contredire la chronologie des événements rapportés par POLITICO : « La directrice par intérim, Madhu Gottumukkala, a utilisé ChatGPT pour la dernière fois mi-juillet 2025, dans le cadre d'une autorisation temporaire accordée �à certains employés. La politique de sécurité de la CISA maintient le blocage de l'accès à ChatGPT par défaut, sauf dérogation. »
M. Gottumukkala est actuellement le plus haut responsable politique de la CISA, une agence chargée de protéger les réseaux fédéraux contre les pirates informatiques sophistiqués, soutenus par des États, provenant de pays hostiles, notamment la Russie et la Chine.
Tout contenu téléchargé sur la version publique de ChatGPT utilisée par M. Gottumukkala est partagé avec OpenAI, propriétaire de ChatGPT. Il peut donc être utilisé pour répondre aux questions d'autres utilisateurs de l'application. OpenAI indique que l'application compte plus de 700 millions d'utilisateurs actifs.
D'autres outils d'IA désormais autorisés pour les employés du DHS — comme le chatbot DHSChat, développé en interne par le DHS — sont configurés pour empêcher que les requêtes ou les documents qui y sont saisis ne quittent les réseaux fédéraux.
« Gottumukkala a forcé la main de la CISA pour obtenir ChatGPT, puis il en a abusé », a déclaré un premier responsable.
Tous les fonctionnaires fédéraux sont formés à la manipulation appropriée des documents sensibles. Conformément à la politique du DHS (https://www.dhs.gov/sites/default/files/publications/Management%20Directive%2011042.1%20Safeguarding%20Sensitive%20But%20Unclassified%20%28For%20Official%20Use%20Only%29%20Information_0.pdf), les responsables de la sécurité sont également tenus d'enquêter sur les causes et les conséquences de toute divulgation de documents à usage officiel, et de déterminer la pertinence de toute mesure administrative ou disciplinaire. Selon les circonstances, ces mesures peuvent aller d'une simple formation de recyclage obligatoire ou d'un avertissement formel à des sanctions plus sévères, telles que la suspension ou le retrait d'une habilitation de sécurité, a indiqué l'un des quatre responsables.
Après que le DHS a détecté l'activité suspecte, Gottumukkala s'est entretenu avec de hauts responsables du DHS afin d'examiner les documents qu'il avait téléchargés sur ChatGPT, ont précisé deux des quatre responsables. Selon un premier responsable, Joseph Mazzara, alors conseiller juridique par intérim du DHS, a participé à l'évaluation des risques potentiels pour le département. D'après un second responsable, Antoine McCord, directeur des systèmes d'information du DHS, y a également contribué.
En août dernier, Gottumukkala a rencontré Robert Costello, directeur des systèmes d'information de la CISA, et Spencer Fisher, son conseiller juridique principal, au sujet de l'incident et de la gestion appropriée des documents à usage interne, ont indiqué les quatre personnes.
Ni Mazzara ni Costello n'ont répondu aux demandes de commentaires. Il a été impossible de joindre Antoine McCord et Spencer Fisher.
Gottumukkala dirige l'agence par intérim depuis mai, date à laquelle il a été nommé directeur adjoint par la secrétaire du DHS, Kristi Noem. La nomination par Donald Trump de Sean Plankey, conseiller spécial du DHS, à la tête de la CISA, a été bloquée l'an dernier par le sénateur Rick Scott (R-Floride) en raison d'un contrat de construction navale avec les garde-côtes. Aucune date n'a encore été fixée pour sa nouvelle audition de confirmation.
Le mandat de Gottumukkala à la tête de l'agence a été tumultueux, et ce ne serait pas son premier incident lié à la sécurité.
Au moins six fonctionnaires de carrière ont été mis en congé cet été après l'échec de Gottumukkala à un test polygraphique de contre-espionnage qu'il avait insisté pour passer, comme l'a révélé POLITICO en premier lieu. Le DHS a qualifié ce test de « non autorisé ». Interrogé la semaine dernière devant le Congrès sur le point de savoir s'il était « au courant » de cet échec, Gottumukkala a déclaré à deux reprises au représentant Bennie Thompson (démocrate du Mississippi) qu'il ne « souscrivait pas à cette interprétation ».
Et la semaine dernière, Gottumukkala a tenté d'évincer Costello, le directeur informatique de la CISA, avant que d'autres personnes nommées à des postes politiques au sein de l'agence n'interviennent pour bloquer cette initiative.