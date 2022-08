Lorsque Peiter Zatko, le célèbre hacker mieux connu sous le nom de Mudge, a obtenu le poste de responsable de la sécurité de Twitter en novembre 2020, l’archiviste Internet Jason Scott tweeté“vous avez tout mon soutien pour partir après avoir mis le feu à l’endroit.”

Zatko a peut-être fait exactement cela, sinon tout à fait dans cet ordre. Plusieurs mois après avoir été licencié par le PDG Parag Agrawal, Zatko a dénoncé l’entreprise, déclarant à la Securities and Exchange Commission (SEC) que Twitter n’avait pratiquement rien fait pour améliorer sa terrible sécurité – la raison de l’embauche de Zatko en premier lieu – et que l’entreprise a l’habitude de mentir ou d’induire en erreur le gouvernement, les investisseurs et Elon Musk.

Twitter n’a pas abordé les allégations spécifiques de Zatko dans une déclaration à Recode, mais a déclaré en général qu’elles n’étaient pas exactes et que Zatko était un ancien employé mécontent dont le timing est “opportuniste”.

“M. Zatko a été licencié de son poste de cadre supérieur chez Twitter en janvier 2022 pour leadership inefficace et mauvaise performance », a déclaré un porte-parole de Twitter. “Ce que nous avons vu jusqu’à présent est un faux récit sur Twitter et nos pratiques de confidentialité et de sécurité des données qui est truffé d’incohérences et d’inexactitudes et manque de contexte important.”

Les affirmations de Musk pourraient attirer le plus d’attention, compte tenu de la notoriété du milliardaire excentrique et de la controverse persistante sur sa tentative d’acheter (puis de ne pas acheter) Twitter. Ils sont placés relativement haut dans la plainte de la SEC qui a été divulguée au Washington Post et à CNN mardi, et certaines des affirmations de Zatko traitent directement des accusations portées par Musk pour tenter de sortir de son accord de 44 milliards de dollars. Musk a déclaré que les faux comptes, ou robots de spam, représentent une part beaucoup plus importante de la base d’utilisateurs de Twitter que ne le prétend la société, et donc Twitter ne vaut pas ce qu’il avait initialement accepté de payer pour cela. Twitter n’est pas d’accord, affirmant que Musk essaie de trouver une raison de se retirer de l’accord. La société a poursuivi Musk pour le forcer à acquérir la société. Ce procès doit commencer le 17 octobre.

Mais ces affirmations pourraient être le moindre des soucis de Twitter liés à la fuite. Zatko décrit Twitter comme une entreprise qui manque de motivation et de capacité à protéger ses utilisateurs et elle-même contre les failles de sécurité, tout en trompant les investisseurs et les agences gouvernementales.

Voici quelques-unes des allégations selon lesquelles Twitter devrait être plus inquiet que ce que tweete Agrawal à propos des comptes de robots.

L’allégation selon laquelle Twitter aurait trompé la Federal Trade Commission

Zatko allègue que Twitter a violé une ordonnance de consentement de la FTC de 2011 obligeant l’entreprise à mettre en œuvre certains protocoles de sécurité. Zatko dit que Twitter n’a jamais été en conformité avec cet ordre et ne le sera probablement jamais. Il affirme que cela a mis l’entreprise (et les données de ses utilisateurs) en danger de plages de sécurité comme celle de 2020 qui a été à l’origine de l’embauche de Zatko.

La FTC serait en train d’examiner ces affirmations, et les choses pourraient devenir très coûteuses pour Twitter si elles s’avèrent vraies – il suffit de regarder le paiement sans précédent de 5 milliards de dollars de Facebook pour avoir violé une ordonnance de consentement de la FTC. Cela ferait également de Twitter un récidiviste ; la société a récemment accepté de payer 150 millions de dollars pour demander des informations sur les utilisateurs à des fins de sécurité, puis les utiliser pour cibler des publicités sur eux. La FTC ne regardera pas gentiment là-dessus.

L’affirmation selon laquelle des agents de gouvernements étrangers travaillaient pour Twitter et avaient accès aux informations des utilisateurs – et Twitter le savait

L’une des révélations les plus alarmantes de Zatko est que Twitter employait des agents du gouvernement indien, ce qui signifie qu’ils auraient eu un large accès aux données car l’entreprise n’avait pas pris de mesures de base pour limiter cet accès pour de nombreux employés. La plainte indique que les dirigeants de Twitter savaient que trop d’employés avaient accès à trop de choses et que des agents du gouvernement indien travaillaient pour l’entreprise, mais n’ont rien fait en réponse. Il indique également que le gouvernement américain a déclaré à Twitter qu’au moins un de ses employés travaillait pour le compte d’une agence de renseignement étrangère, qui n’est pas nommée dans la plainte.

Si c’est vrai, ce ne serait pas la première fois que Twitter est infiltré par des personnes travaillant pour un gouvernement étranger, peut-être pour collecter des informations sur des dissidents ou des rivaux. Un ressortissant saoudien a récemment été reconnu coupable d’avoir infiltré Twitter pour espionner des utilisateurs critiques à l’égard du gouvernement saoudien, pour lequel il était payé par un conseiller du prince héritier Mohammed ben Salmane. Un autre ancien employé de Twitter accusé d’espionnage pour le compte de l’Arabie saoudite a fui le pays avant de pouvoir être arrêté.

L’accusation selon laquelle Jack Dorsey a vérifié et a été remplacé par le pire PDG de tous les temps

Cela peut ne pas surprendre quiconque a regardé les apparitions laconiques du fondateur de l’entreprise et de son PDG de l’époque devant le Congrès au cours des dernières années, mais Zatko dit que Dorsey était la plupart du temps absent de Twitter pendant que Zatko y travaillait. Dorsey “a connu une perte de concentration drastique en 2021”, indique la plainte, assistant à peu de réunions et participant à peine à celles auxquelles il est venu. Zatko dit que cela lui a rendu difficile de faire son travail et qu’il n’avait aucun soutien dans «l’effort herculéen» qui réparait Twitter. Dorsey travaillait apparemment depuis une île privée en Polynésie française lorsque la décision a été prise d’interdire le président Trump de la plate-forme. Il a démissionné de Twitter fin 2021.

Agrawal est maintenant le PDG de Twitter, et apparemment l’objet de la colère de Zatko. La plainte accuse à plusieurs reprises et fréquemment Agrawal de ne pas avoir amélioré la sécurité et la confidentialité de Twitter, d’avoir tenté de cacher les problèmes de Twitter aux investisseurs et au conseil d’administration, et de ne pas avoir donné à Zatko le soutien et les ressources dont Zatko estimait qu’il avait besoin pour faire le travail pour lequel il avait été embauché. Bien que Dorsey ait été le PDG pendant la majeure partie du mandat de Zatko sur Twitter, il s’en tire facilement dans le rapport. Cela ne le protégera peut-être pas des retombées de cette fuite.

L’allégation selon laquelle Twitter n’a pas suivi pendant longtemps les pratiques de sécurité de base

Tout au long de la plainte, Zatko affirme que la société a refusé de mettre en œuvre certaines mesures de sécurité de base, même en comptant parmi ses utilisateurs certaines des personnes les plus puissantes et les plus importantes au monde. Cela a conduit, selon Zatko, à des failles de sécurité, y compris celle qui a conduit à son embauche : un adolescent a pu accéder à certains des comptes les plus en vue de la plate-forme, puis les utiliser pour tweeter des escroqueries au bitcoin, volant finalement 120 000 $. valeur de la crypto-monnaie des victimes. Ce pirate a obtenu l’accès en incitant les employés de Twitter à abandonner leurs mots de passe, montrant à quel point Twitter était apparemment laxiste en ce qui concerne la limitation et le contrôle de l’accès aux comptes de haut niveau.

Sans surprise, cette affirmation a jusqu’à présent attiré l’essentiel de l’attention des membres du Congrès, dont la plupart, sinon la totalité, sont eux-mêmes des utilisateurs de Twitter. Selon le Washington Post, certains législateurs ont déjà rencontré Zatko ou prévoient de le faire dans un proche avenir. Attendez-vous à ce que Zatko témoigne devant des comités, un peu comme la dénonciatrice de Facebook Frances Haugen l’a fait à la suite de ses révélations (Zatko et Haugen ont tous deux utilisé Whistleblower Aid, une société d’assistance juridique à but non lucratif, pour faciliter leurs plaintes et les représenter). Ce qui n’est pas clair, c’est ce que les législateurs peuvent faire au-delà de l’envoi de lettres de colère ou de la tenue d’audiences de comités, car le Congrès n’a pas réussi à adopter les lois fédérales sur la protection de la vie privée. La SEC et la FTC, d’autre part, préparent peut-être déjà leurs dossiers contre Twitter pour avoir prétendument trompé les actionnaires et les consommateurs.

Quant à Musk, il a répondu à la nouvelle par plusieurs tweets, dont une d’une illustration de Jiminy Cricket, qui chante “Give a Little Whistle” dans Pinocchio; une capture d’écran de l’article du Washington Post qui disait que Twitter avait des spams internes et des numéros de robots qu’il ne partageait pas avec les investisseurs ; et plusieurs tweets avec un emoji solitaire, dont un visage monocle et un visage qui pleure et rit.

L’avocat de Musk a déclaré au Washington Post que Zatko avait déjà été assigné à comparaître pour le procès Musk-Twitter.

La joie de Musk pourrait être prématurée. S’il perd sa bataille et est obligé d’acheter Twitter, il n’obtiendra pas seulement une entreprise qui vaut déjà bien moins que le prix qu’il a accepté de payer. Il obtiendra également une entreprise qui, si les allégations de Zatko sont vraies, est en proie à des problèmes internes et externes que quelqu’un devra résoudre – et répondre.