IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment des milliers d'employés de Twitter peuvent prétendument accéder aux informations des utilisateurs,
Le lanceur d'alerte Mudge affirme que Twitter a de grandes lacunes en matière de sécurité

Le , par Bill Fassinou

19PARTAGES

7  0 
Lors d'une audience devant le Congrès américain mardi, les sénateurs ont appris que la protection des données sensibles des utilisateurs par Twitter est tellement laxiste que toute personne possédant un compte a des raisons de craindre pour la sécurité de ses informations. Peiter Zatko, ancien chef de la sécurité de Twitter, devenu lanceur d'alerte, a donné de nouveaux détails sur son allégation antérieure selon laquelle environ 50 % des 7 000 employés de Twitter pourraient potentiellement accéder aux informations personnelles de n'importe quel utilisateur, y compris leur adresse, leur numéro de téléphone et même leur emplacement physique actuel.

En août, Peiter Zatko, plus connu sous le nom de Mudge, a fait les gros titres en accusant Twitter d'avoir trompé les investisseurs sur le nombre de bots sur le service, de ne pas avoir supprimé les données des utilisateurs et d'avoir de mauvaises pratiques de sécurité, entre autres choses. En réponse, Twitter a déclaré qu'il avait été licencié en janvier 2022 pour "leadership inefficace et mauvaises performances" et que ses allégations contre l'entreprise peignaient un "faux récit". Zatko a été assigné à témoigner devant le Congrès américain. Et mardi, il a fait de nouvelles déclarations accablantes sur la politique de sécurité de l'entreprise.

Twitter a mis en place des politiques contre l'accès abusif des employés aux données, mais Zatko affirme qu'il n'y a pas assez de moyens techniques pour les empêcher de le faire. Si c'est vrai, cela pose un sérieux problème de sécurité pour les plus de 400 millions d'utilisateurs de Twitter, parmi lesquels des dirigeants mondiaux, des journalistes et des militants très en vue. « Je suis ici aujourd'hui parce que la direction de Twitter induit en erreur le public, les législateurs, les régulateurs et même son propre conseil d'administration », a déclaré Zatko, qui a dirigé le département de sécurité de Twitter de novembre 2020 à janvier 2022.



« Les défaillances de l'entreprise en matière de cybersécurité la rendent vulnérable à l'exploitation, causant un préjudice réel à des personnes réelles. Il n'est pas exagéré de dire que des employés de l'entreprise pourraient s'emparer des comptes de tous les sénateurs présents dans cette salle », a-t-il déclaré. Pirate informatique de renom et ancien employé du ministère de la Défense, Zatko a déclaré que les lacunes de Twitter en matière de cybersécurité "seraient une mine d'or" pour les gouvernements étrangers ou les agences de renseignement, transformant les lacunes de l'entreprise en un risque pour la sécurité nationale.

Zatko a déclaré que lorsqu'il a rejoint Twitter à la fin de 2020, l'entreprise avait "plus d'une décennie de retard sur les normes de sécurité de l'industrie". De plus, il a répondu par l'affirmative lorsque le sénateur John Kennedy (R-La) lui a demandé s'il est vrai que "tous les ingénieurs et la moitié des employés de Twitter" ont accès aux comptes des gens. Dans de nombreuses entreprises technologiques, les ingénieurs travaillent dans un environnement de test, où il n'y a pas des données réelles sur les utilisateurs et où les ingénieurs sont libres d'expérimenter de nouvelles fonctionnalités et de nouveaux changements.

Mais Zatko a expliqué que chez Twitter, l'entreprise permet à tous ses ingénieurs d'accéder à son "environnement de production", c'est-à-dire au produit réel, ce qui leur donne accès aux données réelles des utilisateurs. « C'est une bizarrerie ; c'est une exception à la norme », a déclaré Zatko. Il a également ajouté qu'il avait vu des messages sur des forums clandestins proposant de vendre "l'accès à des comptes, de supprimer des comptes, de débanaliser des comptes, bien qu'il ne sache pas s'ils sont authentiques". « Les accusations sont troublantes », a déclaré le président du Comité judiciaire Dick Durbin (D-Ill.).

« L'essentiel est ceci : Twitter est une plateforme extrêmement puissante qui ne peut pas se permettre d'avoir des failles de sécurité béantes », a ajouté Durbin dans une déclaration liminaire. En août, Twitter a démenti les affirmations de Zatko, affirmant qu'elles sont "truffées d'incohérences et d'inexactitudes". Mais les pratiques de sécurité de l'entreprise font l'objet d'un examen minutieux depuis juillet 2020, lorsqu'une cyberattaque a permis à des pirates d'envoyer de faux tweets faisant la promotion d'une escroquerie au bitcoin à partir des comptes célèbres tels que celui de l'ancien président Barack Obama et le rappeur Kanye West.

Jack Dorsey, alors PDG de Twitter, a embauché Zatko quelques mois après l'incident, pour un bref mandat qui s'est terminé par le licenciement de Zatko au début de l'année. « En termes simples, les divulgations du lanceur d'alertes dressent le portrait inquiétant d'une entreprise qui se concentre uniquement sur les profits à tout prix, y compris au détriment de la sûreté et de la sécurité de ses utilisateurs », a déclaré Chuck Grassley (R-Iowa) dans son discours d'ouverture. Parlant de l'actuel PDG de Twitter, Grassley a ajouté : « si ces allégations sont vraies, je ne vois pas comment Agrawal peut conserver son poste chez Twitter ».

L'audition de mardi marque un renforcement de la pression exercée par le Congrès sur les entreprises pour qu'elles assument davantage de responsabilités en matière de failles de sécurité. La question est particulièrement urgente à l'approche des élections de mi-mandat, car les plateformes de médias sociaux sont à nouveau mises à l'épreuve pour combattre le type de désinformation qui s'est largement répandu pendant la compétition présidentielle de 2020. Selon Durbin, les préoccupations des législateurs concernant Twitter et d'autres plateformes de médias sociaux vont bien au-delà des failles de sécurité alléguées par Zatko.

La question de l'accès des employés aux données des utilisateurs n'est qu'un exemple parmi d'autres dans le portrait que fait Zatko d'une entreprise qui, selon ses dires, "court d'un feu à l'autre" plutôt que de s'attaquer aux vulnérabilités techniques de longue date qui exposent ses utilisateurs à des risques. « C'est une culture dans laquelle ils n'établissent pas de priorités. Ils ne sont capables de se concentrer que sur une crise à la fois. Et cette crise n'est pas terminée. Elle est simplement remplacée par une autre crise », a déclaré Zatko. La crise la plus imminente de Twitter à l'heure actuelle est l'incertitude quant à savoir qui finira par posséder l'entreprise.

En avril, Elon Musk a proposé de racheter Twitter pour 44 milliards de dollars, avant de se rétracter peu après. Il a affirmé que les dirigeants de Twitter n'avaient pas répondu à ses demandes d'informations sur les robots spammeurs et d'autres problèmes liés à la plateforme, ce qui, selon lui, rend son offre d'achat obsolète. Twitter a poursuivi Musk en justice pour tenter de le forcer à conclure l'accord. Les affirmations de Zatko pourraient permettre à Musk de se dégager de l'accord avec Twitter, en étayant son affirmation selon laquelle l'entreprise n'a pas divulgué toute l'étendue de ses problèmes.

Musk a cité Zatko à comparaître dans le cadre de sa défense juridique contre Twitter. Zatko a affirmé, dans une plainte déposée par le Washington Post et CNN, que les dirigeants de Twitter avaient menti au sujet des vulnérabilités informatiques et de la sécurité des données. Il a également affirmé que Twitter ne supprime pas toujours les données des comptes désactivés et qu'il n'a pas réussi à débarrasser la plateforme des comptes robots automatisés connus pour diffuser de la propagande. Zatko a déclaré en outre que le gouvernement indien a fait pression sur Twitter pour qu'il engage au moins un agent du gouvernement du pays.

« L'exemple de l'Inde montre qu'il existe un risque plus important que des gouvernements étrangers ou des agences d'espionnage trouvent le moyen d'implanter des employés sur la plateforme de médias sociaux, étant donné le manque de garanties internes de Twitter. Si une telle entité devait placer quelqu'un chez Twitter, comme nous savons que cela s'est produit, il serait très difficile pour Twitter de le trouver. Ils seraient probablement en mesure de rester là pendant une longue période et d'obtenir une quantité importante d'informations à fournir à l'arrière », a déclaré Zatko mardi.

Par ailleurs, Zatko a déclaré que Twitter avait commis de multiples violations d'un décret de consentement en matière de confidentialité et de sécurité conclu en 2011 avec la Federal Trade Commission (FTC). Il a ajouté que les grandes entreprises technologiques ont beaucoup moins peur de la FTC et des autres régulateurs américains que des agences de régulation en Europe, qui ont le pouvoir légal d'imposer des amendes sévères et répétées pour les violations de la vie privée. « La FTC est un peu dépassée. Elle laisse les entreprises noter elles-mêmes leurs devoirs », a-t-il déclaré.

L'audition de mardi fait suite à une panne du centre de données de Twitter à Sacramento, en Californie, causé par une chaleur extrême la semaine dernière, qui aurait placé la plateforme de médias sociaux dans un "état non redondant". Le manque de centres de données redondants ou de sauvegarde supplémentaire était une autre préoccupation soulevée par Zatko dans sa plainte. Que le Congrès prenne ou non des mesures supplémentaires, les problèmes de Twitter continueront de se poser dans le cadre du procès opposant Twitter à Elon Musk, qui doit commencer le mois prochain devant la Cour de chancellerie du Delaware.

L'audition est également intervenue un jour avant une autre très attendue, toujours en rapport avec Twitter. Des responsables actuels et anciens de Twitter sont attendus devant la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales dans le cadre d'une audition distincte sur "l'impact des médias sociaux sur la sécurité intérieure". Le responsable des produits grand public de Twitter, Jay Sullivan, sera présent aux côtés des responsables des produits de Meta, YouTube et TikTok.

Source : Audience du Congrès

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des déclarations de Peiter Zatko sur la sécurité chez Twitter ?
Pensez-vous que ces informations pourraient faire pencher la balance du côté de Musk lors du procès ?

Voir aussi

Twitter : un lanceur d'alertes affirme que Musk avait raison au sujet des bots, la FTC examine le rapport

Elon Musk envoie une nouvelle notification pour tenter de mettre fin à l'accord sur Twitter, mais la plateforme de médias sociaux a rejeté la proposition des avocats de Musk

Twitter a accepté de payer environ 7 millions de dollars à son ancien responsable de sécurité devenu lanceur d'alerte, dont les allégations feront partie du dossier d'Elon Musk contre la société

Les estimations de Twitter concernant les bots sur l'application sont raisonnablement correctes, alors qu'Elon Musk continue d'affirmer que 20 % des comptes de l'application seraient des bots

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 02/11/2022 à 10:31
Citation Envoyé par Madmac Voir le message
Le dernier scandale de Pfizer qui a été d'admettre qu'aucune recherche n'avait été fait pour confirmer que la vaccination stoppait la transmission. En dépit du battage publicitaire qui prétendait le contraire.
Change de média, dés le début Pfizer, et les autres labos, ont bien publié le fait qu'ils n'aient pas testé l'efficacité sur la transmission. Pour une raison simple, si on prend le temps de réfléchir 2 minutes : Tester la transmission implique de contaminer des humains à une maladie dont on a/avait aucun remède à ce moment donné.

Je n'ai absolument pas apprécié qu'on nous force à prendre ce vaccin en version Béta, mais faut arrêter de chercher des problème là où il n'y en avait pas...
16  1 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 16/11/2022 à 20:50
Enfin... Les devs dans le monde entier ont les même habitudes.

Tu ne peux pas les prendre pour des divas pendant 5 ans et leur proposer l esclavage facilement.

En plus, les bons ont souvent des opportunités quoi qu'il arrive et parfois assez d'argent pour créer leurs opportunités.

Bref avec ce genre de message il va sûrement arriver a un tiers qui reste.. mais ça m'étonnerait qu'il garde les meilleurs.

Et attendons nous a voir pointer un produit twitter like dans les 2 mois par quelques dizaines d'employés le codage a déjà du commencer et je ne doute pas qu'un ou deux fond soit prêt à mettre quelques centaines de millions dedans.

Mastodon de par sa philosophie ne pourra jamais faire l'affaire donc il y a une place a prendre.
13  0 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 02/11/2022 à 11:23
Citation Envoyé par Erviewthink Voir le message
Tu ne peux pas dire qu'un vaccin n'augmente pas la mortalité car et c'est un fait des gens peuvent mourir après l'injection d'un vaccin, si ils ne l'avaient pas reçu, ces personnes mortes ne le seraient pas si elles ne l'avaient pas reçu, donc un vaccin augmente la mortalité suite à son injection, c'est un fait, même si c'est minime.

Il faut arbitrer si le risque en vaut la chandelle, un personne jeune en bonne santé a peu de risque de mourir du covid donc se vacciner contre ce rhume est inutile pour une personne lambda.
Encore une fois lisez les études scientifiques au lieu de vous croire plus expert que les médecins et cessez de propager des rumeurs débiles, c'est honteux et même criminel.
14  3 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 16/11/2022 à 10:25
Je pense que le gars a fait une erreur
Et même en France tous les salariés ont une obligation de retenu et de loyauté envers leur entreprise.
Donc un licenciement aurait été validé je pense.

La il faut regarder le contexte.
On a un mec qui prétend mieux faire que twitter depuis plusieurs années.
A peine arrivé dans une boîte en état correct mais pas top, il mène une politique inhabituelle dont les résultats a court terme sont désastreux.
Au passage, au lieu d'accuser la hiérarchie passée des errements il n hésite pas à mettre en doute les compétences techniques des équipes et la qualité des produits. Or la qualité n'a jamais été un frein sur Twitter.

Il me paraît normal que les équipes lui fasse faux bond.

C'est dailleur pur cela que je pense qu'il va se prendre une belle claque dans les 2 mois avec une faillite retentissante. Parce que sans employé on ne produit plus... Et que sans voix discordante on fonce dans le mur a coup sur.

Je ne donne pas cher de Tesla aussi. Parce que là il est en train de politiser son discours, ce qui aux Etats Unis peut facilement te priver de subventions, de soutien... Et de ventes.

Quand il humilié un député en public... Il ne peut pas gagner derrière.

On verra alors que Tesla est valorisé 10 a 100 fois trop cher.
https://www.lesechos.fr/industrie-se...bourse-1358541

Cette boîte ne peut pas valoir 100 fois plus que Renault. Soyons sérieux.

La chute sera brutale je pense.
11  0 
Avatar de Pyramidev
Expert confirmé https://www.developpez.com
Le 16/11/2022 à 17:44
Du coup, parmi ceux qui sont en congés, ceux qui ne lisent pas leurs courriels du boulot seront automatiquement virés ?

Très peu de développeurs voudront rester chez Twitter. Ceux qui cliqueront sur le lien le feront probablement car ils essaieront de trouver un autre job avant d'être virés.
Plus aucun développeur ne voudra postuler chez Twitter.
Soit Elon Musk est totalement idiot, soit son but est de détruire Twitter.
11  0 
Avatar de SimonKenoby
Membre actif https://www.developpez.com
Le 15/11/2022 à 11:24
Tiens, je croyais que Elon Musk était un grand défenseur de la liberté d'expression? N'avait-il pas dis il y a quelques moi que n'importe qui pouvait le critiquer? On commence déjà a voir les limites de sa "liberté d'expression".
14  4 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 18/11/2022 à 20:57
Explique moi pourquoi un dev bon irait bosser
Beaucoup d'heure
Pour un chef impulsif
Sans stratégie compréhensible
En gerant un existant sans soutien

Un bon boulot de dev c'est selon moi
Un projet intéressant
Des collègues intéressants
Une roadmap compréhensible et tenable
Entre 30 et 40h de travail max
Un management a l écoute
Un équilibre vie perso vie pro tenable dans le temps.

Pour moi les devs qui ont le choix fuieront cette ambiance toxique qui ne coche aucune de ces cases.
11  1 
Avatar de micka132
Expert confirmé https://www.developpez.com
Le 09/12/2022 à 12:11
Citation Envoyé par Bill Fassinou Voir le message
Musk aurait demandé aux employés d'accepter de travailler au bureau 24 heures sur 24 et 7 jours sur 7 ou de quitter volontairement leur emploi. D'après les plaignantes, en faisant cette demande aux employés, Musk n'a pas pris en compte les autres occupations des femmes en dehors des heures et jours de travail. Ce qui serait contraire à la loi.
Ca veut dire qu'il n'y a que les femmes qui ont d'autres occupations en dehors des heures et jours de travail? C'est pas un peu sexiste ça?

Après la discrimination positive à l'embauche, il faut faire la discrimination négative au licenciement.
10  0 
Avatar de Fleur en plastique
Membre extrêmement actif https://www.developpez.com
Le 20/12/2022 à 9:16
Citation Envoyé par Guilp Voir le message
- Il prend des décisions rapides
Des décisions hâtives, prises sur un coup de tête, et pour lesquelles le désastre était évident avant même de l'effectuer.
Citation Envoyé par Guilp Voir le message
- Il mesure ses résultats immédiatement
Le désastre j'aurais dis. Mais oui, il le voit. Preuve qu'il n'est pas complètement fou.
Citation Envoyé par Guilp Voir le message
- Il n'hésite pas à itérer rapidement et à tester autre chose
Il répare le désastre qu'il a lui-même causé à de nombreuses reprises.

Citation Envoyé par Guilp Voir le message
Même si 80% de ses décisions sont mauvaises, le fait d'itérer rapidement dans cette boucle de feedback utilisateur, c'est la manière typique des startups pour innover et grandir rapidement.
Innover ? Le mot typique du commercial pour se défendre contre toute décision impopulaire. Ce mot est, en ce qui me concerne, banni de mon vocabulaire, car trop utilisé pour couvrir la mafia de l'informatique.

Très honnêtement, je l'avais imaginé tout de suite, obtenir la coche bleue pour 8 € / mois allait permettre à n'importer qui d'avoir la coche bleue, qui n'avait plus le sens de validé, mais le sens de "a payé", donc autrement dit, aucun sens pour le visiteur qui n'en a que f... Mais comme le visiteur ne sait pas forcément que la coche bleue a changé de signification, il était évident que cela allait servir aux petits plaisantins du Web de profiter d'une notoriété si facile à obtenir.

Virer en masse des équipes dans l'unique but de réduire la masse salariale, puis être obligé de rappeler quand on se rend compte qu'on a peut-être pas viré les bons, là encore c'est juste une impulsion. Je ne nie pas le besoin de réduire la masse salariale, mais il faut le faire d'une manière raisonnée. Rappeler quelqu'un après l'avoir viré c'est juste la preuve d'une incompétence crasse.

Citation Envoyé par Guilp Voir le message
mais peut-être va-t-il en sortir quelque chose de radicalement innovant et qui va fonctionner dans quelques mois.
A contrario, ne pas oser itérer radicalement dans une entreprise qui n'a pas trouvé son modèle pour survivre, ça aurait été un crash assuré. Je suis donc la suite des événement avec beaucoup d'intérêt (et de popcorn) !
Quand on le voit poster lui-même un sondage sur "devrais-je quitter l'entreprise" et voir 58% de oui, permet-moi de douter de sa compétence. Surtout que je ne crois pas une seconde qu'il va le faire, bien que tout montre qu'il devrait. Car non seulement il crache Twitter, mais il entraîne ses autres entreprises à succès (Tesla, SpaceX) dans sa chute.

Au niveau de la dernière actu, je pense que Twitter est coupable de ne pas avoir signifié son désir de rompre le contrat avec cette entreprise, puisqu'il se contente de jeter les factures à la poubelle. D'un autre côté, une facture trimestrielle de 1 million de dollars pour une fourniture de service apparemment dispensable puisque Twitter ne s'est pas encore effondré, même sans connaître les détails, cela semble largement excessif.
10  0 
Avatar de escartefigue
Modérateur https://www.developpez.com
Le 02/11/2022 à 11:06
Citation Envoyé par Madmac Voir le message
Les AntiVaxx ne manqueront pas de matériel pour allumer les membres du culte de Fauci. Augmentation généralisé de mortalité proportionnel au proportion de vacciné. Le dernier scandale de Pfizer qui a été d'admettre qu'aucune recherche n'avait été fait pour confirmer que la vaccination stoppait la transmission. En dépit du battage publicitaire qui prétendait le contraire.
La répétition compulsive de fausses informations ne les rend pas véridiques, elle ne fait que décrédibiliser son auteur, en l'occurrence Madmac.
Le vaccin contre le COVID, comme les autres vaccins du reste, n'augmente pas la mortalité, c'est tout le contraire.
Toutes les études montrent que le vaccin contre le COVID diminue au contraire très fortement les formes graves de COVID et le taux de mortalité.
Evidemment, pour le savoir, il faut s'intéresser aux études validées par la communauté scientifique et non aux rumeurs sans fondement. Bref, avoir l'esprit cartésien. Trop compliqué pour certains.

Les AntiVaxx manquent bel et bien de matériel : ce sont les neurones en état de fonctionner qui leur manquent cruellement
15  6