IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment des milliers d'employés de Twitter peuvent prétendument accéder aux informations des utilisateurs,
Le lanceur d'alerte Mudge affirme que Twitter a de grandes lacunes en matière de sécurité

Le , par Bill Fassinou

10PARTAGES

7  0 
Lors d'une audience devant le Congrès américain mardi, les sénateurs ont appris que la protection des données sensibles des utilisateurs par Twitter est tellement laxiste que toute personne possédant un compte a des raisons de craindre pour la sécurité de ses informations. Peiter Zatko, ancien chef de la sécurité de Twitter, devenu lanceur d'alerte, a donné de nouveaux détails sur son allégation antérieure selon laquelle environ 50 % des 7 000 employés de Twitter pourraient potentiellement accéder aux informations personnelles de n'importe quel utilisateur, y compris leur adresse, leur numéro de téléphone et même leur emplacement physique actuel.

En août, Peiter Zatko, plus connu sous le nom de Mudge, a fait les gros titres en accusant Twitter d'avoir trompé les investisseurs sur le nombre de bots sur le service, de ne pas avoir supprimé les données des utilisateurs et d'avoir de mauvaises pratiques de sécurité, entre autres choses. En réponse, Twitter a déclaré qu'il avait été licencié en janvier 2022 pour "leadership inefficace et mauvaises performances" et que ses allégations contre l'entreprise peignaient un "faux récit". Zatko a été assigné à témoigner devant le Congrès américain. Et mardi, il a fait de nouvelles déclarations accablantes sur la politique de sécurité de l'entreprise.

Twitter a mis en place des politiques contre l'accès abusif des employés aux données, mais Zatko affirme qu'il n'y a pas assez de moyens techniques pour les empêcher de le faire. Si c'est vrai, cela pose un sérieux problème de sécurité pour les plus de 400 millions d'utilisateurs de Twitter, parmi lesquels des dirigeants mondiaux, des journalistes et des militants très en vue. « Je suis ici aujourd'hui parce que la direction de Twitter induit en erreur le public, les législateurs, les régulateurs et même son propre conseil d'administration », a déclaré Zatko, qui a dirigé le département de sécurité de Twitter de novembre 2020 à janvier 2022.



« Les défaillances de l'entreprise en matière de cybersécurité la rendent vulnérable à l'exploitation, causant un préjudice réel à des personnes réelles. Il n'est pas exagéré de dire que des employés de l'entreprise pourraient s'emparer des comptes de tous les sénateurs présents dans cette salle », a-t-il déclaré. Pirate informatique de renom et ancien employé du ministère de la Défense, Zatko a déclaré que les lacunes de Twitter en matière de cybersécurité "seraient une mine d'or" pour les gouvernements étrangers ou les agences de renseignement, transformant les lacunes de l'entreprise en un risque pour la sécurité nationale.

Zatko a déclaré que lorsqu'il a rejoint Twitter à la fin de 2020, l'entreprise avait "plus d'une décennie de retard sur les normes de sécurité de l'industrie". De plus, il a répondu par l'affirmative lorsque le sénateur John Kennedy (R-La) lui a demandé s'il est vrai que "tous les ingénieurs et la moitié des employés de Twitter" ont accès aux comptes des gens. Dans de nombreuses entreprises technologiques, les ingénieurs travaillent dans un environnement de test, où il n'y a pas des données réelles sur les utilisateurs et où les ingénieurs sont libres d'expérimenter de nouvelles fonctionnalités et de nouveaux changements.

Mais Zatko a expliqué que chez Twitter, l'entreprise permet à tous ses ingénieurs d'accéder à son "environnement de production", c'est-à-dire au produit réel, ce qui leur donne accès aux données réelles des utilisateurs. « C'est une bizarrerie ; c'est une exception à la norme », a déclaré Zatko. Il a également ajouté qu'il avait vu des messages sur des forums clandestins proposant de vendre "l'accès à des comptes, de supprimer des comptes, de débanaliser des comptes, bien qu'il ne sache pas s'ils sont authentiques". « Les accusations sont troublantes », a déclaré le président du Comité judiciaire Dick Durbin (D-Ill.).

« L'essentiel est ceci : Twitter est une plateforme extrêmement puissante qui ne peut pas se permettre d'avoir des failles de sécurité béantes », a ajouté Durbin dans une déclaration liminaire. En août, Twitter a démenti les affirmations de Zatko, affirmant qu'elles sont "truffées d'incohérences et d'inexactitudes". Mais les pratiques de sécurité de l'entreprise font l'objet d'un examen minutieux depuis juillet 2020, lorsqu'une cyberattaque a permis à des pirates d'envoyer de faux tweets faisant la promotion d'une escroquerie au bitcoin à partir des comptes célèbres tels que celui de l'ancien président Barack Obama et le rappeur Kanye West.

Jack Dorsey, alors PDG de Twitter, a embauché Zatko quelques mois après l'incident, pour un bref mandat qui s'est terminé par le licenciement de Zatko au début de l'année. « En termes simples, les divulgations du lanceur d'alertes dressent le portrait inquiétant d'une entreprise qui se concentre uniquement sur les profits à tout prix, y compris au détriment de la sûreté et de la sécurité de ses utilisateurs », a déclaré Chuck Grassley (R-Iowa) dans son discours d'ouverture. Parlant de l'actuel PDG de Twitter, Grassley a ajouté : « si ces allégations sont vraies, je ne vois pas comment Agrawal peut conserver son poste chez Twitter ».

L'audition de mardi marque un renforcement de la pression exercée par le Congrès sur les entreprises pour qu'elles assument davantage de responsabilités en matière de failles de sécurité. La question est particulièrement urgente à l'approche des élections de mi-mandat, car les plateformes de médias sociaux sont à nouveau mises à l'épreuve pour combattre le type de désinformation qui s'est largement répandu pendant la compétition présidentielle de 2020. Selon Durbin, les préoccupations des législateurs concernant Twitter et d'autres plateformes de médias sociaux vont bien au-delà des failles de sécurité alléguées par Zatko.

La question de l'accès des employés aux données des utilisateurs n'est qu'un exemple parmi d'autres dans le portrait que fait Zatko d'une entreprise qui, selon ses dires, "court d'un feu à l'autre" plutôt que de s'attaquer aux vulnérabilités techniques de longue date qui exposent ses utilisateurs à des risques. « C'est une culture dans laquelle ils n'établissent pas de priorités. Ils ne sont capables de se concentrer que sur une crise à la fois. Et cette crise n'est pas terminée. Elle est simplement remplacée par une autre crise », a déclaré Zatko. La crise la plus imminente de Twitter à l'heure actuelle est l'incertitude quant à savoir qui finira par posséder l'entreprise.

En avril, Elon Musk a proposé de racheter Twitter pour 44 milliards de dollars, avant de se rétracter peu après. Il a affirmé que les dirigeants de Twitter n'avaient pas répondu à ses demandes d'informations sur les robots spammeurs et d'autres problèmes liés à la plateforme, ce qui, selon lui, rend son offre d'achat obsolète. Twitter a poursuivi Musk en justice pour tenter de le forcer à conclure l'accord. Les affirmations de Zatko pourraient permettre à Musk de se dégager de l'accord avec Twitter, en étayant son affirmation selon laquelle l'entreprise n'a pas divulgué toute l'étendue de ses problèmes.

Musk a cité Zatko à comparaître dans le cadre de sa défense juridique contre Twitter. Zatko a affirmé, dans une plainte déposée par le Washington Post et CNN, que les dirigeants de Twitter avaient menti au sujet des vulnérabilités informatiques et de la sécurité des données. Il a également affirmé que Twitter ne supprime pas toujours les données des comptes désactivés et qu'il n'a pas réussi à débarrasser la plateforme des comptes robots automatisés connus pour diffuser de la propagande. Zatko a déclaré en outre que le gouvernement indien a fait pression sur Twitter pour qu'il engage au moins un agent du gouvernement du pays.

« L'exemple de l'Inde montre qu'il existe un risque plus important que des gouvernements étrangers ou des agences d'espionnage trouvent le moyen d'implanter des employés sur la plateforme de médias sociaux, étant donné le manque de garanties internes de Twitter. Si une telle entité devait placer quelqu'un chez Twitter, comme nous savons que cela s'est produit, il serait très difficile pour Twitter de le trouver. Ils seraient probablement en mesure de rester là pendant une longue période et d'obtenir une quantité importante d'informations à fournir à l'arrière », a déclaré Zatko mardi.

Par ailleurs, Zatko a déclaré que Twitter avait commis de multiples violations d'un décret de consentement en matière de confidentialité et de sécurité conclu en 2011 avec la Federal Trade Commission (FTC). Il a ajouté que les grandes entreprises technologiques ont beaucoup moins peur de la FTC et des autres régulateurs américains que des agences de régulation en Europe, qui ont le pouvoir légal d'imposer des amendes sévères et répétées pour les violations de la vie privée. « La FTC est un peu dépassée. Elle laisse les entreprises noter elles-mêmes leurs devoirs », a-t-il déclaré.

L'audition de mardi fait suite à une panne du centre de données de Twitter à Sacramento, en Californie, causé par une chaleur extrême la semaine dernière, qui aurait placé la plateforme de médias sociaux dans un "état non redondant". Le manque de centres de données redondants ou de sauvegarde supplémentaire était une autre préoccupation soulevée par Zatko dans sa plainte. Que le Congrès prenne ou non des mesures supplémentaires, les problèmes de Twitter continueront de se poser dans le cadre du procès opposant Twitter à Elon Musk, qui doit commencer le mois prochain devant la Cour de chancellerie du Delaware.

L'audition est également intervenue un jour avant une autre très attendue, toujours en rapport avec Twitter. Des responsables actuels et anciens de Twitter sont attendus devant la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales dans le cadre d'une audition distincte sur "l'impact des médias sociaux sur la sécurité intérieure". Le responsable des produits grand public de Twitter, Jay Sullivan, sera présent aux côtés des responsables des produits de Meta, YouTube et TikTok.

Source : Audience du Congrès

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des déclarations de Peiter Zatko sur la sécurité chez Twitter ?
Pensez-vous que ces informations pourraient faire pencher la balance du côté de Musk lors du procès ?

Voir aussi

Twitter : un lanceur d'alertes affirme que Musk avait raison au sujet des bots, la FTC examine le rapport

Elon Musk envoie une nouvelle notification pour tenter de mettre fin à l'accord sur Twitter, mais la plateforme de médias sociaux a rejeté la proposition des avocats de Musk

Twitter a accepté de payer environ 7 millions de dollars à son ancien responsable de sécurité devenu lanceur d'alerte, dont les allégations feront partie du dossier d'Elon Musk contre la société

Les estimations de Twitter concernant les bots sur l'application sont raisonnablement correctes, alors qu'Elon Musk continue d'affirmer que 20 % des comptes de l'application seraient des bots

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 02/11/2022 à 10:31
Citation Envoyé par Madmac Voir le message
Le dernier scandale de Pfizer qui a été d'admettre qu'aucune recherche n'avait été fait pour confirmer que la vaccination stoppait la transmission. En dépit du battage publicitaire qui prétendait le contraire.
Change de média, dés le début Pfizer, et les autres labos, ont bien publié le fait qu'ils n'aient pas testé l'efficacité sur la transmission. Pour une raison simple, si on prend le temps de réfléchir 2 minutes : Tester la transmission implique de contaminer des humains à une maladie dont on a/avait aucun remède à ce moment donné.

Je n'ai absolument pas apprécié qu'on nous force à prendre ce vaccin en version Béta, mais faut arrêter de chercher des problème là où il n'y en avait pas...
16  1 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 16/11/2022 à 20:50
Enfin... Les devs dans le monde entier ont les même habitudes.

Tu ne peux pas les prendre pour des divas pendant 5 ans et leur proposer l esclavage facilement.

En plus, les bons ont souvent des opportunités quoi qu'il arrive et parfois assez d'argent pour créer leurs opportunités.

Bref avec ce genre de message il va sûrement arriver a un tiers qui reste.. mais ça m'étonnerait qu'il garde les meilleurs.

Et attendons nous a voir pointer un produit twitter like dans les 2 mois par quelques dizaines d'employés le codage a déjà du commencer et je ne doute pas qu'un ou deux fond soit prêt à mettre quelques centaines de millions dedans.

Mastodon de par sa philosophie ne pourra jamais faire l'affaire donc il y a une place a prendre.
13  0 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 16/11/2022 à 10:25
Je pense que le gars a fait une erreur
Et même en France tous les salariés ont une obligation de retenu et de loyauté envers leur entreprise.
Donc un licenciement aurait été validé je pense.

La il faut regarder le contexte.
On a un mec qui prétend mieux faire que twitter depuis plusieurs années.
A peine arrivé dans une boîte en état correct mais pas top, il mène une politique inhabituelle dont les résultats a court terme sont désastreux.
Au passage, au lieu d'accuser la hiérarchie passée des errements il n hésite pas à mettre en doute les compétences techniques des équipes et la qualité des produits. Or la qualité n'a jamais été un frein sur Twitter.

Il me paraît normal que les équipes lui fasse faux bond.

C'est dailleur pur cela que je pense qu'il va se prendre une belle claque dans les 2 mois avec une faillite retentissante. Parce que sans employé on ne produit plus... Et que sans voix discordante on fonce dans le mur a coup sur.

Je ne donne pas cher de Tesla aussi. Parce que là il est en train de politiser son discours, ce qui aux Etats Unis peut facilement te priver de subventions, de soutien... Et de ventes.

Quand il humilié un député en public... Il ne peut pas gagner derrière.

On verra alors que Tesla est valorisé 10 a 100 fois trop cher.
https://www.lesechos.fr/industrie-se...bourse-1358541

Cette boîte ne peut pas valoir 100 fois plus que Renault. Soyons sérieux.

La chute sera brutale je pense.
11  0 
Avatar de Pyramidev
Expert confirmé https://www.developpez.com
Le 16/11/2022 à 17:44
Du coup, parmi ceux qui sont en congés, ceux qui ne lisent pas leurs courriels du boulot seront automatiquement virés ?

Très peu de développeurs voudront rester chez Twitter. Ceux qui cliqueront sur le lien le feront probablement car ils essaieront de trouver un autre job avant d'être virés.
Plus aucun développeur ne voudra postuler chez Twitter.
Soit Elon Musk est totalement idiot, soit son but est de détruire Twitter.
11  0 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 02/11/2022 à 11:23
Citation Envoyé par Erviewthink Voir le message
Tu ne peux pas dire qu'un vaccin n'augmente pas la mortalité car et c'est un fait des gens peuvent mourir après l'injection d'un vaccin, si ils ne l'avaient pas reçu, ces personnes mortes ne le seraient pas si elles ne l'avaient pas reçu, donc un vaccin augmente la mortalité suite à son injection, c'est un fait, même si c'est minime.

Il faut arbitrer si le risque en vaut la chandelle, un personne jeune en bonne santé a peu de risque de mourir du covid donc se vacciner contre ce rhume est inutile pour une personne lambda.
Encore une fois lisez les études scientifiques au lieu de vous croire plus expert que les médecins et cessez de propager des rumeurs débiles, c'est honteux et même criminel.
13  3 
Avatar de SimonKenoby
Membre actif https://www.developpez.com
Le 15/11/2022 à 11:24
Tiens, je croyais que Elon Musk était un grand défenseur de la liberté d'expression? N'avait-il pas dis il y a quelques moi que n'importe qui pouvait le critiquer? On commence déjà a voir les limites de sa "liberté d'expression".
14  4 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 18/11/2022 à 20:57
Explique moi pourquoi un dev bon irait bosser
Beaucoup d'heure
Pour un chef impulsif
Sans stratégie compréhensible
En gerant un existant sans soutien

Un bon boulot de dev c'est selon moi
Un projet intéressant
Des collègues intéressants
Une roadmap compréhensible et tenable
Entre 30 et 40h de travail max
Un management a l écoute
Un équilibre vie perso vie pro tenable dans le temps.

Pour moi les devs qui ont le choix fuieront cette ambiance toxique qui ne coche aucune de ces cases.
10  1 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 02/11/2022 à 11:06
Citation Envoyé par Madmac Voir le message
Les AntiVaxx ne manqueront pas de matériel pour allumer les membres du culte de Fauci. Augmentation généralisé de mortalité proportionnel au proportion de vacciné. Le dernier scandale de Pfizer qui a été d'admettre qu'aucune recherche n'avait été fait pour confirmer que la vaccination stoppait la transmission. En dépit du battage publicitaire qui prétendait le contraire.
La répétition compulsive de fausses informations ne les rend pas véridiques, elle ne fait que décrédibiliser son auteur, en l'occurrence Madmac.
Le vaccin contre le COVID, comme les autres vaccins du reste, n'augmente pas la mortalité, c'est tout le contraire.
Toutes les études montrent que le vaccin contre le COVID diminue au contraire très fortement les formes graves de COVID et le taux de mortalité.
Evidemment, pour le savoir, il faut s'intéresser aux études validées par la communauté scientifique et non aux rumeurs sans fondement. Bref, avoir l'esprit cartésien. Trop compliqué pour certains.

Les AntiVaxx manquent bel et bien de matériel : ce sont les neurones en état de fonctionner qui leur manquent cruellement
14  6 
Avatar de natponch
Membre régulier https://www.developpez.com
Le 12/11/2022 à 11:47
On va plutôt dire qu'il n'en a absolument rien à faire du devenir de twitter et son domaine d'activité d'origine en tant que réseau social. La seule partie qui l'intéresse c'est récupérer son argent à tout prix, qu'il a été "forcé" de dépenser à cause de sa folie des grandeurs et se croire au dessus de tout et tout le monde !
8  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 14/11/2022 à 9:57
Citation Envoyé par Ryu2000 Voir le message
Je pense que ça va être le chaos chez Twitter pendant encore 6 mois, 1 an, et après l'entreprise sera enfin rentable.
Il faut juste trouver les bonnes idées et les implémenter correctement.
Ben oui, en attendant, observons ce c****** milliardaire jouer avec les emplois de personnes qui doivent vivre et nourrir leur famille.
9  1