Darren Christopher Lyn
23 Août 2022•Mise à jour: 23 Août 2022
AA / Houston, Texas / Darren Lyn
L'ancien chef de la sécurité de Twitter, Peiter Zatko, a déposé une plainte retentissante contre son ancien employeur, alléguant une négligence et une mauvaise gestion en matière de cybersécurité.
Dans la plainte qu'il a déposée le 6 juillet auprès de la Securities and Exchange Commission (SEC), de la Federal Trade Commission (FTC) et du Département de la justice des États-Unis (Ministère de la Justice), Peiter Zatko affirme avoir été témoin de "manquements flagrants, de négligence, de dissimulation et de menaces pour la sécurité nationale et la démocratie".
Zatko a déclaré qu'il avait tenté d'attirer l'attention des dirigeants de Twitter sur ces manquements à la sécurité, mais que le conseil d'administration de l'entreprise l'avait ignoré.
"Rien qu'en 2020, Twitter a connu plus de 40 incidents de sécurité, dont 70 % étaient liés au contrôle d'accès", a-t-il déclaré dans la plainte, obtenue par le Washington Post et CNN.
Et d’ajouter : "Ces incidents en comprenaient 20 définis comme des failles ; tous sauf deux étaient liés au contrôle d'accès."
L'ancien chef de la sécurité a en outre allégué que Twitter ne disposait pas d'un contrôle de sécurité de base, avec notamment des milliers d'ordinateurs portables d'employés contenant des copies complètes du code source de Twitter, alors que près d'un tiers de ces appareils bloquaient les mises à jour de sécurité automatiques ou avaient des pare-feu système désactivés.
Selon Zatko, 5 000 employés à plein temps de Twitter avaient un large accès au logiciel interne de la plateforme, qui n'était pas étroitement surveillé, ce qui donnait à ces employés la possibilité d'accéder à des données sensibles et de modifier le fonctionnement de la plateforme.
"Il a été constaté à plusieurs reprises que des employés installaient intentionnellement des logiciels espions sur leurs ordinateurs professionnels à la demande d'organisations externes", a-t-il déclaré.
"Les allégations que j'ai reçues d'un lanceur d'alerte sur Twitter soulèvent de graves inquiétudes en matière de sécurité nationale ainsi que des problèmes de protection de la vie privée, et elles doivent faire l'objet d'une enquête plus approfondie", a déclaré le sénateur Charles Grassley dans un communiqué. Le bureau de Grassley aurait discuté des problèmes de sécurité avec Zatko.
Et Grassley de renchérir : "Prenez une plateforme technologique qui collecte des quantités massives de données d'utilisateurs, combinez-la avec ce qui semble être une infrastructure de sécurité incroyablement faible et infusez-la avec des intervenants étatiques étrangers avec un objectif, et vous avez là une recette pour un désastre".
Peiter Zatko, un pirate informatique bien connu, a été embauché par Twitter à la fin de 2020, quelques mois après qu'une faille de sécurité, très médiatisée, a permis aux pirates de détourner les comptes Twitter de certaines des personnes les plus célèbres au monde, notamment le président des États-Unis Joe Biden et le PDG de Tesla Elon Musk, ce qui rend la plainte du lanceur d'alerte d'autant plus pertinente.
Elon Musk est actuellement engagé dans une bataille juridique avec Twitter pour tenter de se dégager d'un contrat de 44 milliards de dollars pour l'achat de la plateforme de médias sociaux, affirmant que Twitter a déformé les données des utilisateurs et que le nombre de spam bots sur la plateforme est beaucoup plus élevé que ce que la société a révélé.
La plainte de Zatko semble corroborer les affirmations de Musk, car Zatko a déclaré dans la plainte que les dirigeants de Twitter n'ont pas les ressources nécessaires pour comprendre pleinement le véritable nombre de bots sur la plate-forme.
"Les allégations et le timing de Mr. Zatko semblent conçus pour capter l'attention et infliger un préjudice à Twitter, ses clients et ses actionnaires", a déclaré Madeline Broas, porte-parole de Twitter, ajoutant : "Mr Zatko a été licencié de son poste de cadre supérieur chez Twitter en janvier 2022, pour avoir fait preuve de manque de leadership et avoir fourni des performances médiocres."
"Ce que nous avons vu jusqu'à présent est un narratif mensonger sur Twitter et nos pratiques en matière de confidentialité et de sécurité des données, qui est criblé d'incohérences et d'inexactitudes et qui manque cruellement de contextualisation", a-t-elle ajouté.
Et de conclure : "La sécurité et la protection de la vie privée sont depuis longtemps des priorités à l'échelle de l'entreprise chez Twitter et elles continueront à l'être."
*Traduit de l’Anglais par Mourad Belhaj
