Un « hacker éthique » bien connu, qui a été engagé par Twitter pour remanier sa cybersécurité, affirme que le géant des réseaux sociaux est devenu un risque pour la sécurité des États-Unis après avoir renoncé à un accord avec le gouvernement fédéral pour mettre en place un système protégeant correctement les données des utilisateurs.
Peiter « Mudge » Zatko – un ingénieur logiciel qui est devenu une star dans la communauté des hackers après avoir dirigé un groupe des années 1990 appelé « Cult of the Dead Cow » (Culte de la vache morte) – a déposé une plainte auprès de la Securities and Exchange Commission alléguant un dysfonctionnement généralisé chez Twitter.
Zatko a été nommé chef de la sécurité par Twitter il y a deux ans, après que l’entreprise ait été victime de problèmes embarrassants, notamment la réquisition par des pirates de comptes très en vue appartenant à des personnalités comme Barack Obama, Elon Musk, Joe Biden, Warren Buffett, Jeff Bezos, Kim Kardashian, Kanye West et Mike Bloomberg.
Mais dans une plainte déposée auprès du gouvernement fédéral et obtenue en premier lieu par le Washington Post et CNN, Zatko allègue que Twitter n’a pas respecté l’accord conclu avec la Federal Trade Commission (FTC) pour combler les failles de cybersécurité qui ont conduit aux piratages.
M. Zatko accuse Twitter de ne pas avoir mis à niveau son infrastructure de serveurs, dont la plupart sont, selon lui, obsolètes, ce qui la rend vulnérable à de graves brèches.
Il a également déclaré que l’incapacité de Twitter à protéger les données de ses 238 millions d’utilisateurs – parmi lesquels des agences gouvernementales, des chefs d’État et des responsables de la défense – pose un risque pour la sécurité nationale.
Selon M. Zatko, Twitter perd souvent la trace des données des utilisateurs même lorsque les comptes sont supprimés, ce qui constitue une violation d’un engagement pris par l’entreprise envers la FTC il y a plus de dix ans.
M. Zatko accuse également Twitter de permettre à des travailleurs de bas et moyen niveau d’accéder aux contrôles les plus sensibles de l’entreprise – rendant potentiellement l’entreprise vulnérable à l’espionnage et au sabotage par des acteurs étrangers hostiles.
Il affirme avoir été licencié par la société basée à San Francisco au début de cette année après avoir signalé ces problèmes à ses supérieurs.
M. Zatko semble également soutenir l’affirmation d’Elon Musk selon laquelle l’entreprise ne fait pas suffisamment d’efforts pour lutter contre la prolifération des comptes automatisés « bot » et des spams.
Plus précisément, la plainte de Zatko affirme que les dirigeants de Twitter sont financièrement incités à gonfler le nombre d’utilisateurs au lieu de s’attaquer aux bots. Elon Musk a accusé à plusieurs reprises Twitter de dissimuler un problème de bots dans le cadre de ses efforts pour sortir de l’accord de rachat de 44 milliards de dollars.
La plainte affirme que la C-Suite de Twitter pourrait recevoir des primes d’une valeur allant jusqu’à 10 millions de dollars s’ils augmentaient le nombre d’utilisateurs, les incitant ainsi à ignorer le problème généralisé du site concernant les comptes de spam.
Les dirigeants de Twitter n’ont que peu ou pas d’incitation personnelle à « détecter » ou à mesurer avec précision la prévalence des bots de spam », peut-on lire dans la plainte. « Les cadres supérieurs n’avaient aucun appétit pour mesurer correctement la prévalence des comptes de robots… ils craignaient que si des mesures précises devenaient publiques, cela nuirait à l’image et à la valorisation de l’entreprise. »
Zatko décrit une relation tendue avec le PDG de Twitter, Parag Agrawal, qui est accusé d’avoir découragé le dirigeant de l’époque de donner au conseil d’administration de la société un compte rendu complet des failles de sécurité du site.
Au lieu de cela, Zatko allègue qu’on lui a demandé de présenter un rapport élogieux et trompeur au conseil d’administration afin de le tromper en lui faisant croire que l’entreprise s’attaquait à ses lacunes en matière de sécurité tout en dissimulant la véritable ampleur du problème.
Musk, qui a accepté plus tôt cette année d’acheter Twitter pour 44 milliards de dollars et de la rendre privée, a récemment cherché à se retirer de l’accord – ce qui a incité la société à déposer une plainte dans le Delaware afin de contraindre le PDG de Tesla à poursuivre l’acquisition.
