Lorsque l'ancien PDG de Twitter, Jack Dorsey, a embauché Peiter Zatko en tant que chef de la sécurité de Twitter en 2020, il pensait que le hacker devenu spécialiste de la cybersécurité pourrait aider l'entreprise à améliorer sa sécurité posture. Mais deux ans plus tard, soit Peiter ne pouvait pas aider Twitter, soit l'entreprise ne voulait pas de son aide. Il a été licencié pour leadership inefficace et mauvaise performance, mais Zatko soutient le contraire.
Il a déposé une plainte auprès de la Securities and Exchange Commission (SEC), de la Federal Trade Commission (FTC) et du ministère de la Justice accusant Twitter d'ignorance volontaire et de failles de sécurité majeures.
C'est une litanie d'accusations, toutes plus accablantes les unes que les autres. Voici d'autres révélations de l'acte d'accusation de Zatko contre Twitter.
1. Vulnérabilités de sécurité dangereuses
Parmi les allégations les plus sérieuses faites par Zatko contre Twitter, il y a le fait que la société ne fait pas grand-chose pour protéger ses 238 millions d'utilisateurs quotidiens (dont des chefs d'État, des agences gouvernementales et des personnalités publiques influentes) contre les pirates.
Il allègue que la moitié des serveurs Twitter exécutent des logiciels obsolètes et que près d'un quart des employés ont désactivé les mises à jour logicielles sur leurs systèmes qui pourraient fournir des correctifs de sécurité essentiels.
Si cela est vrai, Twitter peut être tenu pour enfreint le Accord de 2011 avec la FTCsur la sécurité des consommateurs. L'accord exigeait que l'entreprise crée et maintienne un modèle de sécurité de l'information solide devant être inspecté par un auditeur indépendant pendant 10 ans.
2. Accès internes problématiques
L'un des facteurs qui rend la plate-forme vulnérable est l'accès étendu et inutile que les employés auraient à l'environnement de production.
M. Zatko allègue que beaucoup trop d'employés, y compris tous les ingénieurs et environ la moitié de la main-d'œuvre, travaillent directement sur le produit en direct de la plate-forme et accèdent aux données réelles des utilisateurs. C'est du jamais vu dans les entreprises technologiques comme Meta et Google, où les développeurs utilisent des données factices pour coder et tester dans des bacs à sable spécialisés sans affecter les principaux produits.
L'accès mal suivi aux logiciels de base de l'entreprise a conduit à des piratages embarrassants dans le passé, y compris la réquisition de comptes d'utilisateurs de haut niveau comme Bill Gates, Elon Musk et Joe Biden.
3. Nombre de spams et de bots trompeurs
La divulgation du dénonciateur de Twitter accuse la société d'avoir induit en erreur les investisseurs et le public sur la quantité de spam et de bots sur la plate-forme.
Auparavant, Twitter avait affirmé que seulement 5 % des comptes sur la plate-forme étaient des bots, mais Zatko affirme que le nombre réel est bien plus élevé. Il allègue que l'entreprise donne la priorité à la croissance des utilisateurs plutôt qu'à la réduction du spam et que les dirigeants gagnent des bonus valant des millions pour augmenter l'activité quotidienne des utilisateurs.
Cette accusation fournit suffisamment de munitions pour Elon Musk dans sa bataille juridique pour se retirer d'un accord de 44 milliards de dollars pour acheter l'entreprise.
4. Menaces internationales
Pieter Zatko affirme que les gouvernements étrangers qui accèdent à la plate-forme ou trouvent un moyen de pression contre elle peuvent causer d'énormes dommages à la sécurité et aux intérêts nationaux des États-Unis. La menace n'est pas théorique si l'on considère les incidents passés et la faible position de l'entreprise en matière de cybersécurité.
Le rapport affirme que peu de temps avant le licenciement de Zatko, le gouvernement américain a informé Twitter qu'au moins un de ses employés était un agent d'une agence de renseignement étrangère. Zatko pense également que l'entreprise a embauché deux personnes qui étaient des agents du gouvernement indien.
De même, Zatko affirme qu'avant l'invasion de l'Ukraine par la Russie, Parag Agrawal, qui était le CTO de Twitter à la temps, a proposé de faire des concessions à la Russie pour se développer dans le pays au prix de la censure ou surveillance.
Ce n'est pas la première fois que Twitter est accusé d'aider les pays à censurer ou à surveiller la plateforme pour des avantages monétaires. Deux semaines seulement avant la révélation de Zatko, un jury a reconnu coupable un ancien responsable de Twitter d'espionnage pour l'Arabie saoudite.
Que dit Twitter à propos des allégations ?
Le rapport de Zatko contient des dizaines d'allégations graves contre les actes répréhensibles de Twitter, notamment vulnérabilités de sécurité, contrôles d'accès médiocres, mesure trompeuse des comptes de spam et de bot, et Suite.
Mais la vice-présidente des communications de l'entreprise, Rebecca Hahn, a déclaré Le Washington Post que la divulgation de Zatko manque de "contexte important". Hahn estime que "les allégations et le timing opportuniste semblent conçus pour attirer l'attention et infliger des dommages à Twitter" et que "la sécurité et la confidentialité sont depuis longtemps des priorités à l'échelle de l'entreprise".
Agrawal a également nié les accusations portées contre Twitter et l'a qualifié de "faux récit truffé d'incohérences et inexactitudes." Dans une note aux employés, il a souligné que l'entreprise poursuivra tous les chemins pour défendre son intégrité et établir le record droit.
Que pouvons-nous apprendre du dénonciateur de Twitter ?
Surtout, nous devons tous être conscients que nous ne pouvons pas compter uniquement sur d'autres parties pour assurer notre sécurité en ligne. Twitter peut ou non laisser ses utilisateurs ouverts aux pirates, mais en fin de compte, nous devons chacun assumer personnellement la responsabilité de quelles données nous transmettons à l'entreprise - et, en fait, à toute organisation qui demande plus d'informations personnelles qu'il n'en est nécessaire.