En août, Peiter Zatko, plus connu sous le nom de Mudge, a fait les gros titres en accusant Twitter d'avoir trompé les investisseurs sur le nombre de bots sur le service, de ne pas avoir supprimé les données des utilisateurs et d'avoir de mauvaises pratiques de sécurité, entre autres choses. En réponse, Twitter a déclaré qu'il avait été licencié en janvier 2022 pour "leadership inefficace et mauvaises performances" et que ses allégations contre l'entreprise peignaient un "faux récit". Zatko a été assigné à témoigner devant le Congrès américain. Et mardi, il a fait de nouvelles déclarations accablantes sur la politique de sécurité de l'entreprise.
Twitter a mis en place des politiques contre l'accès abusif des employés aux données, mais Zatko affirme qu'il n'y a pas assez de moyens techniques pour les empêcher de le faire. Si c'est vrai, cela pose un sérieux problème de sécurité pour les plus de 400 millions d'utilisateurs de Twitter, parmi lesquels des dirigeants mondiaux, des journalistes et des militants très en vue. « Je suis ici aujourd'hui parce que la direction de Twitter induit en erreur le public, les législateurs, les régulateurs et même son propre conseil d'administration », a déclaré Zatko, qui a dirigé le département de sécurité de Twitter de novembre 2020 à janvier 2022.
« Les défaillances de l'entreprise en matière de cybersécurité la rendent vulnérable à l'exploitation, causant un préjudice réel à des personnes réelles. Il n'est pas exagéré de dire que des employés de l'entreprise pourraient s'emparer des comptes de tous les sénateurs présents dans cette salle », a-t-il déclaré. Pirate informatique de renom et ancien employé du ministère de la Défense, Zatko a déclaré que les lacunes de Twitter en matière de cybersécurité "seraient une mine d'or" pour les gouvernements étrangers ou les agences de renseignement, transformant les lacunes de l'entreprise en un risque pour la sécurité nationale.
Zatko a déclaré que lorsqu'il a rejoint Twitter à la fin de 2020, l'entreprise avait "plus d'une décennie de retard sur les normes de sécurité de l'industrie". De plus, il a répondu par l'affirmative lorsque le sénateur John Kennedy (R-La) lui a demandé s'il est vrai que "tous les ingénieurs et la moitié des employés de Twitter" ont accès aux comptes des gens. Dans de nombreuses entreprises technologiques, les ingénieurs travaillent dans un environnement de test, où il n'y a pas des données réelles sur les utilisateurs et où les ingénieurs sont libres d'expérimenter de nouvelles fonctionnalités et de nouveaux changements.
Mais Zatko a expliqué que chez Twitter, l'entreprise permet à tous ses ingénieurs d'accéder à son "environnement de production", c'est-à-dire au produit réel, ce qui leur donne accès aux données réelles des utilisateurs. « C'est une bizarrerie ; c'est une exception à la norme », a déclaré Zatko. Il a également ajouté qu'il avait vu des messages sur des forums clandestins proposant de vendre "l'accès à des comptes, de supprimer des comptes, de débanaliser des comptes, bien qu'il ne sache pas s'ils sont authentiques". « Les accusations sont troublantes », a déclaré le président du Comité judiciaire Dick Durbin (D-Ill.).
« L'essentiel est ceci : Twitter est une plateforme extrêmement puissante qui ne peut pas se permettre d'avoir des failles de sécurité béantes », a ajouté Durbin dans une déclaration liminaire. En août, Twitter a démenti les affirmations de Zatko, affirmant qu'elles sont "truffées d'incohérences et d'inexactitudes". Mais les pratiques de sécurité de l'entreprise font l'objet d'un examen minutieux depuis juillet 2020, lorsqu'une cyberattaque a permis à des pirates d'envoyer de faux tweets faisant la promotion d'une escroquerie au bitcoin à partir des comptes célèbres tels que celui de l'ancien président Barack Obama et le rappeur Kanye West.
Jack Dorsey, alors PDG de Twitter, a embauché Zatko quelques mois après l'incident, pour un bref mandat qui s'est terminé par le licenciement de Zatko au début de l'année. « En termes simples, les divulgations du lanceur d'alertes dressent le portrait inquiétant d'une entreprise qui se concentre uniquement sur les profits à tout prix, y compris au détriment de la sûreté et de la sécurité de ses utilisateurs », a déclaré Chuck Grassley (R-Iowa) dans son discours d'ouverture. Parlant de l'actuel PDG de Twitter, Grassley a ajouté : « si ces allégations sont vraies, je ne vois pas comment Agrawal peut conserver son poste chez Twitter ».
L'audition de mardi marque un renforcement de la pression exercée par le Congrès sur les entreprises pour qu'elles assument davantage de responsabilités en matière de failles de sécurité. La question est particulièrement urgente à l'approche des élections de mi-mandat, car les plateformes de médias sociaux sont à nouveau mises à l'épreuve pour combattre le type de désinformation qui s'est largement répandu pendant la compétition présidentielle de 2020. Selon Durbin, les préoccupations des législateurs concernant Twitter et d'autres plateformes de médias sociaux vont bien au-delà des failles de sécurité alléguées par Zatko.
La question de l'accès des employés aux données des utilisateurs n'est qu'un exemple parmi d'autres dans le portrait que fait Zatko d'une entreprise qui, selon ses dires, "court d'un feu à l'autre" plutôt que de s'attaquer aux vulnérabilités techniques de longue date qui exposent ses utilisateurs à des risques. « C'est une culture dans laquelle ils n'établissent pas de priorités. Ils ne sont capables de se concentrer que sur une crise à la fois. Et cette crise n'est pas terminée. Elle est simplement remplacée par une autre crise », a déclaré Zatko. La crise la plus imminente de Twitter à l'heure actuelle est l'incertitude quant à savoir qui finira par posséder l'entreprise.
En avril, Elon Musk a proposé de racheter Twitter pour 44 milliards de dollars, avant de se rétracter peu après. Il a affirmé que les dirigeants de Twitter n'avaient pas répondu à ses demandes d'informations sur les robots spammeurs et d'autres problèmes liés à la plateforme, ce qui, selon lui, rend son offre d'achat obsolète. Twitter a poursuivi Musk en justice pour tenter de le forcer à conclure l'accord. Les affirmations de Zatko pourraient permettre à Musk de se dégager de l'accord avec Twitter, en étayant son affirmation selon laquelle l'entreprise n'a pas divulgué toute l'étendue de ses problèmes.
Musk a cité Zatko à comparaître dans le cadre de sa défense juridique contre Twitter. Zatko a affirmé, dans une plainte déposée par le Washington Post et CNN, que les dirigeants de Twitter avaient menti au sujet des vulnérabilités informatiques et de la sécurité des données. Il a également affirmé que Twitter ne supprime pas toujours les données des comptes désactivés et qu'il n'a pas réussi à débarrasser la plateforme des comptes robots automatisés connus pour diffuser de la propagande. Zatko a déclaré en outre que le gouvernement indien a fait pression sur Twitter pour qu'il engage au moins un agent du gouvernement du pays.
« L'exemple de l'Inde montre qu'il existe un risque plus important que des gouvernements étrangers ou des agences d'espionnage trouvent le moyen d'implanter des employés sur la plateforme de médias sociaux, étant donné le manque de garanties internes de Twitter. Si une telle entité devait placer quelqu'un chez Twitter, comme nous savons que cela s'est produit, il serait très difficile pour Twitter de le trouver. Ils seraient probablement en mesure de rester là pendant une longue période et d'obtenir une quantité importante d'informations à fournir à l'arrière », a déclaré Zatko mardi.
Par ailleurs, Zatko a déclaré que Twitter avait commis de multiples violations d'un décret de consentement en matière de confidentialité et de sécurité conclu en 2011 avec la Federal Trade Commission (FTC). Il a ajouté que les grandes entreprises technologiques ont beaucoup moins peur de la FTC et des autres régulateurs américains que des agences de régulation en Europe, qui ont le pouvoir légal d'imposer des amendes sévères et répétées pour les violations de la vie privée. « La FTC est un peu dépassée. Elle laisse les entreprises noter elles-mêmes leurs devoirs », a-t-il déclaré.
L'audition de mardi fait suite à une panne du centre de données de Twitter à Sacramento, en Californie, causé par une chaleur extrême la semaine dernière, qui aurait placé la plateforme de médias sociaux dans un "état non redondant". Le manque de centres de données redondants ou de sauvegarde supplémentaire était une autre préoccupation soulevée par Zatko dans sa plainte. Que le Congrès prenne ou non des mesures supplémentaires, les problèmes de Twitter continueront de se poser dans le cadre du procès opposant Twitter à Elon Musk, qui doit commencer le mois prochain devant la Cour de chancellerie du Delaware.
L'audition est également intervenue un jour avant une autre très attendue, toujours en rapport avec Twitter. Des responsables actuels et anciens de Twitter sont attendus devant la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales dans le cadre d'une audition distincte sur "l'impact des médias sociaux sur la sécurité intérieure". Le responsable des produits grand public de Twitter, Jay Sullivan, sera présent aux côtés des responsables des produits de Meta, YouTube et TikTok.
Source : Audience du Congrès
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des déclarations de Peiter Zatko sur la sécurité chez Twitter ?
Pensez-vous que ces informations pourraient faire pencher la balance du côté de Musk lors du procès ?
Voir aussi
Twitter : un lanceur d'alertes affirme que Musk avait raison au sujet des bots, la FTC examine le rapport
Elon Musk envoie une nouvelle notification pour tenter de mettre fin à l'accord sur Twitter, mais la plateforme de médias sociaux a rejeté la proposition des avocats de Musk
Twitter a accepté de payer environ 7 millions de dollars à son ancien responsable de sécurité devenu lanceur d'alerte, dont les allégations feront partie du dossier d'Elon Musk contre la société
Les estimations de Twitter concernant les bots sur l'application sont raisonnablement correctes, alors qu'Elon Musk continue d'affirmer que 20 % des comptes de l'application seraient des bots