Les allégations sont graves, detailed et risquent de porter, tant celui qui les formula est une figure respectée du milieu américain de la cybersécurité. Après avoir un temps été responsable de la sécurité informatique du réseau social Twitter, Peiter Zatko accuses today the company of failures « extremes and shocking » en la matière.
« Mudge », son surnom depuis qu’il fraie dans cette industrie, a transmis en juillet une plainte au gendarme boursier américain (Securities and Exchange Commission, ou SEC) ainsi qu’au régulator américain du commerce (Federal Trade Commission, ou FTC) et s’est placé sous la protection de la loi américaine sur les lanceurs d’alerte. C’est le The Washington Post et CNN qui ont révélé l’information, mardi 23 août, ayant eu accès à la complaint de l’ancien cadre.
« Twitter fait preuve d’une negligence flagrante dans severales domaines de la sécurité informatique. Si ces problèmes ne sont pas corrigés, les régulators, les médias et les utilisers de la platform-forme seront choqués lorsqu’ils apprendront inévitablement les graves lacunes de Twitter en la matière », écrit Peiter Zatko dans une note interne datée de février, que l’entreprise lui a commande peu après son licencement et qui est jointe à la complainte.
Pas assez de ressources contre le spam
“Mudge” accuses the company of ne pas avoir alloué sufficiente de ressources pour lutter contre la désinformation et negligé le combat contre le spam au profit d’une croissance du nombre d’utilisateurs, à laquelle les dirientes étaiten financièrement intéressés. According to him, les affirmations récentes et récurrentes de l’entreprise sur la sophistication de ses dispositifs de lutte contre les fake comptes et contre le spam sont mensongères. « En réalitéécrit le lanceur d’alerte dans sa plainte, des programs informatiques simples, dépassés, sans supervision, associés à des équipes humaines surchargées, inefficaces et trop peu nombreuses. »
Sur ce point, les accusations de M. Zatko echo à l’un des reproches faits à l’entreprise par le billionaire Elon Musk, qui, après avoir fait part de sa volonté de racheter le réseau social pour 44 milliards de dollars, tente de faire marche arrière et accuse ce dernier de ne pas être transparent quant à ses efforts pour lutter contre le spam. Cette question, crucial pour l’avenir de l’entreprise, sera tranchée devant un tribunal de l’Etat américain du Delaware, à partir d’octobre.
According to the complaint, Twitter aurait enfreint l’accord noué en 2011 avec l’autorité fédérale américaine de la concurrence censée le contraindre à muscler ses efforts en matière de sécurité. Le lanceur d’alerte dénonce ainsi des serveurs informatiques non mis à jour, et donc davantage vulnerable à des attaques, ainsi que la dissimulation du nombre réel d’incidents de sécurité. Si des manquements à cet accord se confirment, Twitter s’expose à de fortes amendes.
Un agent du gouvernement indien chez Twitter
Une des allégations les plus explosives de « Mudge » concerne l’Inde. According to the former patron of the security, Twitter aurait embauché un agent du gouvernement indien, lui donnant ainsi accès à certains données sensibles. Cette accusation intervient quelques jours après qu’un ancien salarié du réseau social a été condamné pour le compte de l’Arabie saudite pour le compte de l’Arabie saudite.
According to the complaint de “Mudge”, le nombre d’employés disposant d’un accès large et mal contrôlé aux données personales des utilisers et au code source de l’entreprise était beaucoup trop important et explique, selon lui, les nombreuses affaires de piratage qui ont émaillé l ‘histoire de la platform-forme.
La plainte soumise aux autorités américaines depeint aussi un patron, Jack Dorsey à l’époque, totally disinterested in questions related to security, les rares échanges qu’il consentait à son de la sécurité étant trop peu nombreux pour résolver les problèmes de l ‘enterprise. M. Zatko also denounces the deficiencies in the platform’s IT systems organization, the exhibitor of important failures, or permanent losses of data, all of which could threaten its existence.
« Security and private life have long been priorities of the company »and declared au The Washington Post une porte-parole de Twitter, denunçant des allégations « pleines d’incoherences ». « M. Zatko a été licencié il ya plus de six mois de Twitter en raison de ses mauvaises performances et de son manque de leadership, et il semble maintenant essayer de causer du tort à Twitter, à ses clients et à ses shareholders »and pursuei cette porte-parole, defendant la politique de la société en matière de lutte contre le spam et les mechanismes strictes de contrôle de l’accès aux données personales de ses utilisers.
Une figure tutelaire de la cybersécurité
« Mudge » est une figure tutelaire de l’industrie depuis son témoignage, en 1998, devant le Sénat, cheveux long et hirsutes, aux côtes de ses camarades du légendaire groupe de hackers L0pht Heavy Industries. Il y avait déjà, à l’époque, denóncé les manques cruels de méchanismes de protection sur Internet. Il a then travaille pour l’agence du ministère de la défense américain chargé de l’innovation, fait de la recherche pour le account de Google et dirigé la sécurité de Stripe, une pla-forme de paiements électroniques.
« Mudge » était arrivé chez Twitter en 2020 aureole de cette reputation – Jack Dorsey, le patron de l’époque, ne cachait d’ailleurs pas son admiration pour le personnage – et devait venir à bout des importantes difficulties de l’entreprise en matière de sécurité et de désinformation. Le réseau social venait d’être concon à un nouveau piratage retentissant et embarrassant: des hackers avaient détourné les comptes pourtant certifié et donc censément mieux protégés de Barack Obama, Joe Biden ou Elon Musk. In 2017, an employee voluntarily deactivated the account of the American president Donald Trump and, an year later, the company asked several hundreds of millions of users to change their passwords, fearing that they had not divulgués par erreur. Le tout sur fonds d’accusations récurrentes adressées au réseau social concernant ses manquements vis-à-vis de la désinformation.
L’arrivé de « Mudge » à ce poste crucial dans une entreprise au poids important dans le landscape médiatique et politique avait été perçue avec soulagement par de nombreux observateurs et interpretée comme un pas dans la bonne direction pour résolver cette litanie de problèmes. « Je vais faire de mon mieux », avait promis Mudge dans un tweet posté peu après l’annonce de sa nomination, avec, déjà, une pointe de fatalisme.