Dans une plainte transmise aux autorités américaines, l’ex-responsable de la sécurité de Twitter, Peiter « Mudge » Zatko, a pointé du doigt de graves lacunes de l’entreprise en matière de sécurité.
Empêtré dans un duel judiciaire avec Elon Musk concernant son rachat, Twitter n’avait pas besoin de ça. Le hackeur éthique Peiter « Mudge » Zatko, avait été recruté par la société en 2020 comme responsable de la sécurité de l’entreprise. Et il n’a pas visiblement pas apprécié ce dont il a été témoin.
Dans une dénonciation que CNN et le Whashington Post ont pu consulter, Peiter Zatko pointe des problèmes de sécurité majeurs menaçant les données des utilisateurs, des actionnaires, mais aussi la sécurité nationale. Le document comporte près de 200 pages, et a été transmis, entre autres, au Congrès, à la Securities and Exchange Commission (SEC), la Federal Trade Commission (FTC) et au ministère de la Justice.
Pas de sécurité de base
Dans le détail, le lanceur d’alerte affirme que trop de personnel serait autorisé à accéder aux contrôles critiques de l’entreprise. Ce sont aussi des principes de bases qui sont régulièrement ignorés. Selon des rapports internes, 4 appareils sur 10 ne répondent pas aux normes de sécurité. Ce sont aussi près de la moitié des 500 000 serveurs de l'entreprise qui fonctionnent sur des logiciels obsolètes. Ceux-ci ne prennent pas en charge certaines fonctionnalités de sécurité essentielles comme le cryptage des données stockées ou les mises à jour de sécurité régulières. Zatko avance également que le réseau social ne supprime pas en totalité les données personnelles des utilisateurs après fermeture de leur compte, comme elle est tenue de le faire.
En 2010, la FTC avait déjà déposé une plainte contre Twitter en raison de sa mauvaise gestion des informations personnelles des utilisateurs et du trop grand nombre d'employés ayant accès aux contrôles centraux du réseau social. En dépit des engagements pris par l'entreprise pour remédier aux problèmes, Zatko affirme que Twitter n'a « jamais été en conformité », avec les exigences de la FTC.
Menace étrangère
Zatko avance aussi que certains dirigeants ont tenté de dissimuler des vulnérabilités auprès des régulateurs et du conseil d’administration. Selon ses dires, l’équipe dirigeante lui aurait demandé de fournir au conseil d’administration un rapport oral plutôt qu’écrit sur ses conclusions sur l’état de sécurité de Twitter.
Plus grave, selon les accusations, certains employés pourraient travailler pour des renseignements étrangers. Le rapport indique d’ailleurs, que c’est le gouvernement américain lui-même qui s'en serait inquiété auprès de Twitter. Autre source d'inquiétude, un ancien manager de l'entreprise a été condamné il y a deux semaines pour espionnage au service de l'Arabie Saoudite.
C’est Elon qui va être content
Et voilà qui devrait plaire à Elon Musk! Selon l’ancien responsable, Twitter n’a pas les ressources suffisantes pour déterminer le nombre réel de faux comptes sur sa plateforme. En effet, le patron de Tesla avait justifié l’abandon du rachat du réseau social en raison des incertitudes autour du nombre de bots présents sur Twitter. Hasard du calendrier ? Apparemment oui. « John Tye, fondateur de Whistleblower Aid et avocat de Zatko, a déclaré à CNN que Zatko n'avait pas été en contact avec Musk, et a déclaré que Zatko avait commencé le processus de dénonciation avant qu'il n'y ait aucune indication de l'implication de Musk avec Twitter. » Mais logiquement, un avocat d’Elon Musk a confirmé à CNN qu’une assignation à comparaître a été émise pour Peiter Zatko.
Contacté par CNN, un porte-parole de Twitter a rejeté les accusations en bloc, rappelant que : « M. Zatko a été licencié de son poste de cadre supérieur chez Twitter en janvier 2022 pour leadership inefficace et mauvaises performance ». Avançant que les informations dévoilées par l’ex-responsable constituent « un faux récit » sur Twitter et ses pratiques en matière de confidentialité et de sécurité.