L'ancien chef de la sécurité de Twitter affirme que la société a menti sur tout
- 👨 Alban Martin
- Il y a 2 ans
- 💬 1 com
Peiter "Mudge" Zatko torpille Twitter
Zatko a été licencié par Twitter en janvier et affirme qu'il s'agit de représailles sur son refus de garder le silence sur les vulnérabilités de l'entreprise. Le mois dernier, il a déposé une plainte auprès de la Securities and Exchange Commission (SEC), dans laquelle il accuse Twitter de tromper ses actionnaires et de violer un accord passé avec la Federal Trade Commission (FTC) pour respecter certaines normes de sécurité. Ses plaintes, qui totalisent plus de 200 pages, ont été obtenues par CNN et le Washington Post et publiées sous forme expurgée ce matin.
Dans une interview accordée à CNN, Mudge a déclaré qu'il avait rejoint Twitter en 2020 à la demande de Jack Dorsey, alors PDG, juste après que l'entreprise ait été frappée par un piratage massif au cours duquel des comptes appartenant à des personnalités telles que Barack Obama, Bill Gates et Kanye West ont été compromis. Zatko a expliqué avoir accepté car Twitter est une "ressource critique" pour le monde, mais il est tombé des nues devant le refus du PDG, Parag Agrawal, de s'attaquer aux nombreuses failles de sécurité de l'entreprise.
Zatko assume sa décision de devenir un lanceur d'alerte :
Cela ne serait jamais mon premier pas, mais je crois que je remplis encore mon obligation envers Jack et les utilisateurs de la plateforme. Je veux terminer le travail pour lequel Jack m'a engagé, à savoir améliorer la place.
Les divulgations de Zatko à la SEC contiennent de nombreux rapports et accusations accablants, mais voici quelques-uns des plus significatifs :
- Accès sans discernement. Une partie importante de la vulnérabilité de Twitter est que trop d'employés ont accès aux systèmes critiques, affirme Zatko dans sa plainte. Il affirme qu'environ la moitié des quelque 7 000 employés à temps plein de Twitter ont accès aux données personnelles sensibles des utilisateurs (comme les numéros de téléphone) et aux logiciels internes (pour modifier le fonctionnement du service), et que cet accès n'est pas étroitement surveillé. Il affirme également que des milliers d'ordinateurs portables contiennent des copies complètes du code source de Twitter.
- Tromper la FTC. En 2010, Twitter a réglé les accusations portées contre lui par la FTC, qui lui reprochait de ne pas avoir protégé les informations personnelles des consommateurs. Il s'agit là d'un exemple significatif et précoce du contrôle des grandes entreprises technologiques par les autorités de réglementation. Selon la plainte de M. Zatko, Twitter a fait à plusieurs reprises des "déclarations fausses et trompeuses" aux utilisateurs et à la FTC, violant ainsi cet accord.
- Ignorer les bots. Twitter a affirmé à plusieurs reprises que moins de 5 % de ses utilisateurs actifs quotidiens mensuels étaient des bots, de faux comptes ou des spams. La plainte de M. Zatko indique que la méthode utilisée par Twitter pour mesurer ce chiffre est trompeuse et que les dirigeants sont incités (par des primes pouvant atteindre 10 millions de dollars) à augmenter le nombre d'utilisateurs plutôt qu'à supprimer les bots de spam.
- Agents du gouvernement. Twitter est un outil essentiel pour le partage d'informations et l'organisation de manifestations, ce qui en fait une cible de choix pour les gouvernements qui cherchent à réprimer la dissidence. La plainte de M. Zatko indique qu'il pense que le gouvernement indien a forcé Twitter à engager un agent gouvernemental, qui a ensuite eu "accès à de grandes quantités de données sensibles de Twitter".
- Défaut de suppression. La plainte indique que, par le passé, Twitter n'a pas supprimé les données des utilisateurs lorsqu'ils le lui ont demandé, car ces données sont trop dispersées dans les systèmes internes pour être correctement suivies. Un employé actuel a déclaré au Washington Post que l'entreprise venait de terminer un projet, connu sous le nom de "Project Eraser", visant à garantir la suppression correcte des données des utilisateurs.
En réponse à la plainte de Zatko, Twitter a accusé son ancien chef de la sécurité de faire du sensationnalisme et de présenter les informations de manière sélective. Un porte-parole a déclaré à CNN :
M. Zatko a été licencié de son rôle de cadre supérieur chez Twitter pour ses mauvaises performances et son leadership inefficace il y a plus de six mois. Bien que nous n'ayons pas eu accès aux allégations spécifiques auxquelles il fait référence, ce que nous avons vu jusqu'à présent est un récit sur nos pratiques en matière de confidentialité et de sécurité des données qui est truffé d'incohérences et d'inexactitudes, et qui manque de contexte important. Les allégations et le timing opportuniste de M. Zatko semblent destinés à capter l'attention et à porter préjudice à Twitter, ses clients et ses actionnaires. La sécurité et la confidentialité sont depuis longtemps des priorités pour l'ensemble de l'entreprise Twitter et nous avons encore beaucoup de travail à accomplir.
Les allégations de Zatko sont explosives et auront certainement un impact sur l'entreprise. La FTC examine actuellement la plainte, selon des sources citées par le Washington Post, et infligerait probablement des amendes importantes à Twitter si les accusations de Zatko s'avéraient exactes.
La plainte aura également une incidence sur la lutte en cours entre Elon Musk, PDG de Tesla, et Twitter. Musk tente actuellement de se dégager d'un accord de 44 milliards de dollars pour le rachat de la société, justifiant sa décision en accusant Twitter de mentir sur le nombre réel de comptes robots et de spams sur la plateforme. Bien qu'il ne soit pas certain que la plainte de Zatko appuie l'argument juridique de Musk, elle renforcera certainement la perception publique de son cas, qui repose sur l'accusation selon laquelle Twitter sous-compterait ses bots.
Télécharger l'app gratuite Twitter