La sécurité de Twitter est défaillante, selon un ancien responsable de Twitter

À un peu moins de deux mois du début du procès entre Elon Musk et Twitter, une nouvelle bombe menace d’exploser entre les mains des dirigeants du réseau social. C’est que Peiter « Mudge » Zatko l’ancien chef de la sécurité de l’entreprise, a dénoncé de graves problèmes de sécurité qui mettent en péril non seulement les informations personnelles des utilisateurs, mais aussi l’intégrité de l’ensemble de la plateforme. Et il affirme que les cadres supérieurs en sont conscients, mais qu’ils ont choisi de l’ignorer ou de le cacher complètement.

Par l’intermédiaire de Whistleblower Aid, le même groupe qui a assuré la représentation juridique de Frances Haugen, la dénonciatrice qui a divulgué les informations qui ont conduit à l’adoption de la loi sur la protection de l’environnement Papiers Facebook Zatko a envoyé un document de 200 pages à diverses agences et organismes gouvernementaux américains pour exposer cette situation. Il est déjà entre les mains de la Securities and Exchange Commission, de la Federal Trade Commission, du ministère de la Justice et du Senate Intelligence Committee, entre autres.

Bien que la plainte ait été envoyée aux parties susmentionnées au début du mois de juillet, elle n’a été rendue publique que ces dernières heures. Cela s’explique par le fait que CNN et le Washington Post avoir obtenu l’accès aux informations avec lesquelles Peiter Zatko entend démontrer que les politiques de cyber sécurité de Twitter ont été imprudentes et négligentes.

Il convient de mentionner que l’ancien manager devenu dénonciateur est venu sur le réseau social lorsque Jack Dorsey était encore PDG du réseau social. Il a toutefois été licencié en janvier dernier. Selon Twitter, le départ de M. Zatko est lié à de prétendues « mauvaises performances et à un leadership inefficace » dans son rôle. Cependant, le dénonciateur affirme qu’il y a en fait beaucoup plus derrière cette détermination.

L’ancien responsable de la sécurité de la plateforme affirme avoir tenté de montrer au conseil d’administration de Twitter les graves problèmes de sécurité de la plateforme, ce qui a entraîné les problèmes techniques et les infractions à la réglementation. À cela s’ajoutait le manque de contrôle sur le grand nombre d’employés ayant accès à des outils critiques et la possibilité qu’un ou plusieurs travailleurs soient des espions pour les agences de renseignement d’autres pays.

👉​A lire également  Un malware infecte les routeurs depuis des années

Peiter Zatko, du chef de la sécurité au whistleblower de Twitter

Twitter | Peiter Zatko
Il est clair que les accusations de Peiter Zatko contre Twitter sont d’une gravité notoire. Le document envoyé aux agences gouvernementales américaines et aux autres parties intéressées comprend des documents censés étayer les affirmations de l’expert. Parmi eux, des courriels et des échanges continus avec des cadres supérieurs tels que Parag Agrawal l’actuel PDG de la société et l’ancien directeur de la technologie, avec qui il entretenait des relations tendues.

Il s’agit de certaines des allégations les plus importantes :

  • Twitter a trompé son propre conseil d’administration et les régulateurs en ne reconnaissant pas ses graves problèmes de sécurité.
  • L’entreprise ne supprime pas correctement les données des utilisateurs lorsqu’ils décident de se désabonner de leur compte. Il mentionne même que c’est parce que, dans certains cas, il perd la trace de l’information en question.
  • Parag Agrawal lui-même a demandé à Peiter Zatko que les présentations au conseil d’administration sur les questions de sécurité soient faites oralement et non par écrit, afin d’éviter l’accès aux rapports détaillés. Le dénonciateur affirme également qu’on lui a demandé de présenter ses rapports sous un faux jour en utilisant des données spécifiquement sélectionnées pour donner la fausse impression que des progrès étaient accomplis dans ce domaine.
  • À son arrivée chez Twitter, l’expert a rencontré des pratiques de sécurité très médiocres. Il s’agissait notamment du fait que près de la moitié des employés de l’entreprise avaient accès aux outils essentiels pour apporter des modifications à la plateforme. « Il était impossible de protéger l’environnement de production. Tous les ingénieurs y avaient accès. Il n’y avait aucune trace de qui venait ou de ce qu’il faisait. Personne ne savait où se trouvaient les données ni si elles étaient critiques, et chaque ingénieur avait un accès critique à l’environnement de production », a-t-il expliqué.
  • L’infrastructure des serveurs de Twitter est obsolète et pourrait constituer une porte d’entrée pour les acteurs malveillants. Selon Peiter Zatko, environ la moitié des serveurs du réseau social utilisent un vieux logiciel qui ne permet pas de crypter les informations stockées.
  • Le gouvernement américain a remis des preuves qu’au moins un de ses employés était un espion pour les services de renseignement internationaux. Mais il pourrait y avoir plus. Rappelons que le réseau social a déjà un précédent en la matière, suite à l’arrestation en 2019 d’un employé qui a récemment été reconnu coupable d’espionnage pour l’Arabie saoudite.
  • Twitter ne dispose pas des ressources nécessaires pour connaître avec certitude le nombre de bots présents sur la plateforme, et les dirigeants ne se sont jamais souciés de le savoir.
👉​A lire également  WhatsApp permet désormais à tous les utilisateurs de transférer les discussions d'Android vers iOS : guide étape par étape

Twitter se défend

Les accusations de Peiter Zatko ne sont pas tombés dans l’oreille d’un sourd. En fait, Twitter a réagi en envoyant une déclaration à l’adresse suivante CNN:

Bien que nous n’ayons pas eu accès aux allégations spécifiques référencées, ce que nous avons vu jusqu’à présent est un récit sur nos pratiques en matière de sécurité des données et de respect de la vie privée qui est criblé d’incohérences et d’inexactitudes, et qui manque de contexte important. Les allégations de M. Zatko et son opportunisme semblent conçus pour capter l’attention et infliger des dommages à Twitter, ses clients et ses actionnaires. La sécurité et le respect de la vie privée sont depuis longtemps des priorités pour l’ensemble de l’entreprise, et nous avons encore beaucoup de travail devant nous.

Et Elon Musk jubile ?

Elon Musk achète Twitter
La question qui se pose maintenant n’est pas seulement de savoir comment cette histoire va évoluer sur le plan réglementaire, mais quel effet cela aura sur le procès entre Elon Musk et Twitter. Le procès débutera le 17 octobre, et l’équipe juridique du magnat a déjà impliqué d’anciens cadres du réseau social dans le litige. Y aura-t-il aussi de la place pour Peiter Zatko ?

Twitter est sans aucun doute confronté à une situation très complexe. En 2011, le réseau social s’est engagé auprès de la Federal Trade Commission à créer et à maintenir un programme complet de sécurité des informations. Cette décision a été prise après que la société a été accusée d’avoir mal géré les informations privées des utilisateurs. Si la FTC lance une nouvelle enquête et constate que la société n’a jamais tenu ses promesses, elle pourrait recevoir des milliards de dollars d’amendes.