Lors d'une audience devant le Congrès américain mardi, les sénateurs ont appris que la protection des données sensibles des utilisateurs par Twitter est tellement laxiste que toute personne possédant un compte a des raisons de craindre pour la sécurité de ses informations. Peiter Zatko, ancien chef de la sécurité de Twitter, devenu lanceur d'alerte, a donné de nouveaux détails sur son allégation antérieure selon laquelle environ 50 % des 7 000 employés de Twitter pourraient potentiellement accéder aux informations personnelles de n'importe quel utilisateur, y compris leur adresse, leur numéro de téléphone et même leur emplacement physique actuel.En août, Peiter Zatko, plus connu sous le nom de Mudge, a fait les gros titres en accusant Twitter d'avoir trompé les investisseurs sur le nombre de bots sur le service, de ne pas avoir supprimé les données des utilisateurs et d'avoir de mauvaises pratiques de sécurité, entre autres choses. En réponse, Twitter a déclaré qu'il avait été licencié en janvier 2022 pour "leadership inefficace et mauvaises performances" et que ses allégations contre l'entreprise peignaient un "faux récit". Zatko a été assigné à témoigner devant le Congrès américain. Et mardi, il a fait de nouvelles déclarations accablantes sur la politique de sécurité de l'entreprise.
Twitter a mis en place des politiques contre l'accès abusif des employés aux données, mais Zatko affirme qu'il n'y a pas assez de moyens techniques pour les empêcher de le faire. Si c'est vrai, cela pose un sérieux problème de sécurité pour les plus de 400 millions d'utilisateurs de Twitter, parmi lesquels des dirigeants mondiaux, des journalistes et des militants très en vue. « Je suis ici aujourd'hui parce que la direction de Twitter induit en erreur le public, les législateurs, les régulateurs et même son propre conseil d'administration », a déclaré Zatko, qui a dirigé le département de sécurité de Twitter de novembre 2020 à janvier 2022.
« Les défaillances de l'entreprise en matière de cybersécurité la rendent vulnérable à l'exploitation, causant un préjudice réel à des personnes réelles. Il n'est pas exagéré de dire que des employés de l'entreprise pourraient s'emparer des comptes de tous les sénateurs présents dans cette salle », a-t-il déclaré. Pirate informatique de renom et ancien employé du ministère de la Défense, Zatko a déclaré que les lacunes de Twitter en matière de cybersécurité "seraient une mine d'or" pour les gouvernements étrangers ou les agences de renseignement, transformant les lacunes de l'entreprise en un risque pour la sécurité nationale.
Zatko a déclaré que lorsqu'il a rejoint Twitter à la fin de 2020, l'entreprise avait "plus d'une décennie de retard sur les normes de sécurité de l'industrie". De plus, il a répondu par l'affirmative lorsque le sénateur John Kennedy (R-La) lui a demandé s'il est vrai que "tous les ingénieurs et la moitié des employés de Twitter" ont accès aux comptes des gens. Dans de nombreuses entreprises technologiques, les ingénieurs travaillent dans un environnement de test, où il n'y a pas des données réelles sur les utilisateurs et où les ingénieurs sont libres d'expérimenter de nouvelles fonctionnalités et de nouveaux changements.
Mais Zatko a expliqué que chez Twitter, l'entreprise permet à tous ses ingénieurs d'accéder à son "environnement de production", c'est-à-dire au produit réel, ce qui leur donne accès aux données réelles des utilisateurs. « C'est une bizarrerie ; c'est une exception à la norme », a déclaré Zatko. Il a également ajouté qu'il avait vu des messages sur des forums clandestins proposant de vendre "l'accès à des comptes, de supprimer des comptes, de débanaliser des comptes, bien qu'il ne sache pas s'ils sont authentiques". « Les accusations sont troublantes », a déclaré le président du Comité judiciaire Dick Durbin (D-Ill.).
« L'essentiel est ceci : Twitter est une plateforme extrêmement puissante qui ne peut pas se permettre d'avoir des failles de sécurité béantes », a ajouté Durbin dans une déclaration liminaire. En août, Twitter a démenti les affirmations de Zatko, affirmant qu'elles sont "truffées d'incohérences et d'inexactitudes". Mais les pratiques de sécurité de l'entreprise font l'objet d'un examen minutieux depuis juillet 2020, lorsqu'une cyberattaque a permis à des pirates d'envoyer de faux tweets faisant la promotion d'une escroquerie au bitcoin à partir des comptes célèbres tels que celui de l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par febneo
