L'ancien chef de la sécurité de Twitter a dénoncé des "lacunes épouvantables" dans la sécurité et la confidentialité du réseau social

Twitter souffre de graves problèmes de sécurité qui menacent les informations personnelles de ses utilisateurs, les investissements de ses actionnaires et même la sécurité nationale, selon la plainte déposée par l'ancien chef de la sécurité de l'entreprise qui allègue que la firme a trompé les régulateurs gouvernementaux pour masquer les lacunes.

L'ancien responsable est le célèbre hacker Peiter "Mudge" Zatko , l'un des meilleurs experts en cybersécurité qui a été embauché pour consolider le secteur fin 2020 après une attaque mais a été licencié début 2022. Le mois dernier, il a déposé auprès des autorités l'a dénoncé, qui a été révélé ce mardi par The Washington Post et CNN .

Les rapports de Zatko indiquent un environnement chaotique et imprudent qui permet à des milliers de ses employés d'accéder sans surveillance aux contrôles centraux et aux informations sensibles . De plus, il souligne que l'entreprise ne fait pas assez d'efforts pour lutter contre le spam et souligne même qu'il pourrait y avoir des travailleurs qui viennent d'agences de renseignement étrangères.

La plainte intervient à un moment très sensible pour l'entreprise, enfermée dans une bataille juridique avec l'homme d'affaires Elon Musk, l'homme le plus riche du monde, qui cherche à rompre un accord de 44 milliards de dollars pour acheter la plateforme. Le propriétaire de Tesla soutient que Twitter a sous-estimé le nombre de bots et que les rapports qu'il présente aux actionnaires sont inexacts, arguments avec lesquels il pourrait légalement se débarrasser du contrat de pré-acquisition.

John Tye, l'avocat de Zatko par l'intermédiaire de la fondation Whistleblower Aid, a assuré à CNN que l'expert n'avait pas été en contact avec Musk et que Zatko avait lancé la plainte avant que l'homme d'affaires n'exprime son intérêt pour l'acquisition de la société.

Parmi les allégations les plus graves, "Mudge" affirme que Twitter a violé les termes d'un accord de 11 ans avec la Federal Trade Commission en prétendant à tort qu'il avait un plan de sécurité robuste. Il y a quelques mois à peine, l'entreprise a été condamnée à une amende de 150 millions pour avoir violé le pacte, qui interdit de faire de fausses déclarations sur la sécurité des données personnelles de ses 238 millions d'utilisateurs quotidiens.

Selon l'expert, la moitié des serveurs de l'entreprise fonctionnaient sur des logiciels obsolètes et vulnérables, et des milliers d'employés continuaient d'avoir un accès interne étendu et mal contrôlé aux principaux logiciels de l'entreprise , ce qui a par le passé permis des piratages de comptes des anciens présidents Barack. Obama et Donald Trump, parmi d'autres utilisateurs de haut niveau.

Il note également que la société donne la priorité à la croissance des utilisateurs plutôt qu'à la réduction du spam , avec des bonus allant jusqu'à 10 millions de dollars pour les cadres si le nombre de comptes est augmenté, mais aucune récompense explicite pour la suppression automatisée du contenu.

«Je me suis senti éthiquement obligé (de porter plainte). Ce n'est pas une étape facile à franchir", a déclaré Zatko au Post , qui a obtenu les documents par l'intermédiaire de sources du Congrès. De la commission sénatoriale du renseignement, ils ont indiqué qu'ils essayaient d'organiser une réunion avec Zatko pour discuter des détails de la situation, en raison de problèmes potentiels de sécurité nationale.

À cet égard, Zatko a déclaré que Twitter aurait été contraint par le gouvernement indien d'embaucher l'un de ses agents de renseignement , avec accès aux données des utilisateurs à un moment d'intenses protestations sociales dans le pays asiatique.

Par un communiqué, l'entreprise a répondu aux accusations, qu'elle a qualifiées d'inexactes. "La sécurité et la confidentialité sont depuis longtemps les principales priorités de l'entreprise sur Twitter", a déclaré une porte-parole. Ils ont également accusé Zatko de "chercher de manière opportuniste à nuire à Twitter, à ses clients et à ses actionnaires" et ont affirmé qu'il avait été licencié après 15 mois "pour mauvaise performance et leadership".

Au lieu de cela, la version de Zatko est qu'il a été licencié peu de temps après le changement de direction de l'entreprise, lorsqu'il a présenté au nouveau PDG de graves failles de sécurité.

Comme il l'a examiné, au cours de son travail, il n'a jamais obtenu de réponses directes lorsqu'il a découvert la prévalence des bots et du spam. Citant une source sensible de l'entreprise, Twitter a eu peur de déterminer ce chiffre car cela "nuirait à l'image et à la valorisation de l'entreprise" et que les outils de détection des spams de l'entreprise sont beaucoup moins robustes que ne le prétend publiquement l'entreprise.

Les employés contactés par le Washington Post ont indiqué que Zatko était à peine capable de parler au PDG de l'époque, Jack Dorsey, son patron direct, six fois, des appels dans lesquels le directeur n'a dit que quelques mots.

La situation, dit Zatko, a été aggravée par l'arrivée du nouveau PDG, Parag Agrawal , car il a été empêché de donner des détails sur l'industrie lors d'une première réunion du conseil d'administration et n'a autorisé qu'une présentation au petit comité des risques. Là, Zatko a signalé que la réunion aurait pu être frauduleuse, déclenchant une enquête par le comité d'audit. Deux semaines plus tard, il a été licencié.

Même après son départ, il a présenté ses préoccupations dans un rapport écrit en février qui était également joint à la plainte. "Twitter est extrêmement laxiste dans plusieurs domaines de la sécurité de l'information. Si ces problèmes ne sont pas corrigés, les régulateurs, les médias et les utilisateurs de la plateforme seront surpris lorsqu'ils apprendront inévitablement le grave manque de fondamentaux de sécurité de Twitter », a-t-il déclaré.

Comme il l'a dit au Washington Post , il espère qu'un nouvel examen minutieux améliorera les protocoles de l'entreprise. "Je continue de croire qu'il s'agit d'une plate-forme formidable, et qu'il y a une valeur énorme et un risque énorme, et j'espère qu'en regardant en arrière, le monde est un meilleur endroit, en partie à cause de cela", a-t-il déclaré.

David C. Vladeck, qui était directeur du bureau de protection des consommateurs de la Federal Trade Commission au moment du règlement, a déclaré que si les allégations de Zatko étaient prouvées, l'entreprise pourrait faire face à des sanctions importantes, potentiellement de l'ordre de centaines de millions de dollars. "Il est possible que le genre de problèmes auxquels Twitter a été confronté il y a onze ans soit toujours présent dans l'entreprise", a ajouté Vladeck, qui est maintenant professeur de droit à Georgetown, au Post .

Twitter reçoit des pressions de Wall Street sur la transparence de ses chiffres, puisque si les comptes appartiennent en plus grande partie à des bots et non à de vrais utilisateurs, ce sont des profils qui ne voient pas les publicités et rendent l'entreprise moins monétisable.

CONTINUER À LIRE: