« Ruban adhésif ou chewing-gum : » les défaillances de Twitter résonnent dans le monde entier

Des services d’incendie aux gouvernements, des districts scolaires aux entreprises, des services publics locaux aux organisateurs locaux du monde entier, Twitter à son meilleur est un outil pour faire passer un message rapidement, efficacement et directement.

C’est aussi un calcul constant du risque et de la récompense.

Un récent rapport de lanceur d’alerte explosif de l’ancien responsable de la sécurité de Twitter allègue que la société de médias sociaux a fait preuve d’un laxisme négligent en matière de cybersécurité et de protection de la vie privée de ses utilisateurs pendant des années. Bien qu’inquiétantes pour quiconque sur Twitter, les révélations pourraient être particulièrement préoccupantes pour ceux qui l’utilisent pour atteindre les circonscriptions, obtenir des informations sur les urgences et pour les dissidents politiques et les militants dans le collimateur des pirates ou de leurs propres gouvernements.

“Nous avons tendance à considérer ces entreprises comme de grandes entités dotées de ressources suffisantes qui savent ce qu’elles font – mais vous vous rendez compte que bon nombre de leurs actions sont ponctuelles et réactives, motivées par les crises”, a déclaré Prateek Waghre, directeur des politiques chez l’Internet Freedom Foundation, une organisation à but non lucratif de défense des droits numériques en Inde. “Essentiellement, ils sont souvent maintenus ensemble par du ruban adhésif ou du chewing-gum.”

Peiter “Mudge” Zatko, qui était le chef de la sécurité de Twitter jusqu’à son licenciement au début de cette année, a déposé les plaintes le mois dernier auprès des autorités fédérales américaines, alléguant que la société avait induit les régulateurs en erreur au sujet de ses faibles défenses en matière de cybersécurité et de sa négligence dans sa tentative d’éradiquer les faux comptes qui diffusent de la désinformation. L’une des accusations les plus graves de Zatko est que Twitter a violé les termes d’un règlement FTC de 2011 en affirmant à tort qu’il avait mis en place des mesures plus strictes pour protéger la sécurité et la confidentialité de ses utilisateurs.

Waghre a déclaré que les allégations contenues dans la plainte contre l’Inde – selon lesquelles Twitter aurait sciemment autorisé le gouvernement indien à placer ses agents sur la liste de paie de l’entreprise où ils avaient «un accès direct et non supervisé aux systèmes et aux données des utilisateurs de l’entreprise» – étaient particulièrement inquiétantes. Il a également souligné un incident au début du mois où un ancien employé de Twitter a été reconnu coupable d’avoir transmis des données sensibles d’utilisateurs à des membres de la famille royale en Arabie saoudite en échange de pots-de-vin.

Les conséquences des manquements à la vie privée et à la sécurité peuvent aller des désagréments et de l’embarras – comme lorsqu’un compte de la police de l’État de l’Indiana a été piraté et tweeté « tête de caca » plus tôt cette année – à bien pire. En octobre 2021, un humanitaire saoudien a été condamné à 20 ans de prison en raison d’un compte Twitter anonyme et satirique que le royaume dit avoir tenu. Il est possible que l’affaire soit liée aux hommes accusés d’espionnage au nom du royaume alors qu’ils travaillaient chez Twitter.

En tant que défenseur des dissidents et autres personnes détenues en Arabie saoudite, Bethany Al-Haidari s’inquiète depuis des années des garanties de confidentialité des utilisateurs de Twitter. Les nouvelles allégations de lanceur d’alerte la rendent d’autant plus inquiète.

“Compte tenu de ce que nous savons de la façon dont les médias sociaux sont utilisés dans le monde, c’est extrêmement problématique”, a déclaré Al-Haidari, qui travaille pour The Freedom Initiative, un groupe de défense des droits humains basé aux États-Unis. La possibilité que des pirates ou des gouvernements exploitent les failles présumées de la cybersécurité sur Twitter pour obtenir l’identité des utilisateurs, des messages privés ou d’autres informations personnelles « est assez inquiétante pour moi », a-t-elle déclaré.

L’artiste et activiste sino-australien Badiucao, qui publie régulièrement des œuvres critiquant le Parti communiste chinois, s’est dit préoccupé par les allégations du lanceur d’alerte, notant que de nombreux utilisateurs fournissent leurs numéros de téléphone et leurs e-mails à Twitter.

“Une fois que ces informations personnelles ont été divulguées, elles pourraient être utilisées pour retracer votre identité”, a-t-il déclaré. Badiucao a déclaré qu’il recevait régulièrement des menaces de mort et de la propagande de ce qui semble être des comptes de robots ou de spam.

Mais l’artiste prévoit de continuer à utiliser Twitter, affirmant que c’est probablement la meilleure option dont disposent les militants et les artistes de langue chinoise pour un “abri pour la liberté d’expression”.

Twitter affirme que les allégations du lanceur d’alerte présentent un “faux récit” sur l’entreprise et ses pratiques en matière de confidentialité et de sécurité des données, et que les allégations manquent de contexte. “La sécurité et la confidentialité sont depuis longtemps des priorités à l’échelle de l’entreprise chez Twitter et continueront de l’être”, a déclaré la société dans un communiqué.

Malgré les inquiétudes accrues suscitées par les affirmations de Zatko, aucun des groupes dont l’Associated Press a parlé cette semaine ne prévoit de cesser d’utiliser Twitter. Les experts en sécurité disent que si les affirmations du dénonciateur sont alarmantes, il n’y a aucune raison pour que les utilisateurs individuels suppriment leurs comptes.

Les utilisateurs de haut niveau de Twitter et les gouvernements mondiaux peuvent être plus à risque que les utilisateurs moyens, selon les experts. En 2020, par exemple, Twitter a subi un piratage embarrassant par un adolescent qui a accédé aux comptes du président de l’époque Barack Obama, de Joe Biden, de Mike Bloomberg et d’un certain nombre de milliardaires de la technologie, dont le PDG de Tesla, Elon Musk, et le fondateur d’Amazon, Jeff Bezos. Musk est actuellement impliqué dans une bataille avec Twitter alors qu’il tente de se retirer d’un accord de 44 milliards de dollars pour acheter la société.

Un autre incident de sécurité a sonné l’alarme pour Jennifer Grygiel, professeur de communication à l’Université de Syracuse qui suit de près Twitter. En 2017, un employé du service client de Twitter a désactivé le compte du président de l’époque, Donald Trump, pendant quelques minutes lors de leur dernier jour de travail. Alors que le compte a été restauré rapidement, a déclaré Grygiel, l’incident a montré à quel point Twitter était vulnérable en ce qui concerne les gouvernements, les chefs d’État et les branches militaires qui utilisent la plate-forme.

« Suis-je surpris et choqué par les allégations du lanceur d’alerte ? Je ne le suis pas », a déclaré Trav Robertson, président du Parti démocrate de Caroline du Sud, qui utilise Twitter pour communiquer avec environ 18 700 abonnés. Mais il soutient qu’il est particulièrement important pour les gens de ne pas supposer que “les attaques constantes contre nos e-mails, nos bases de données, nos comptes Twitter, nos Facebook” sont la nouvelle norme. “Lorsque nous devenons insensibles à cela, nous ne parvenons pas à être proactifs”, a-t-il déclaré.

Au service d’incendie de la ville de Denver, le responsable de l’information publique JD Chism reconnaît son inquiétude face aux problèmes de sécurité. Mais le département doit peser ce risque par rapport à la façon dont Twitter est devenu essentiel pour communiquer les urgences au public. Le fil Twitter du département héberge des mises à jour en temps réel sur les incendies et les fermetures de routes et les blessures qui en résultent, ainsi que des retweets d’autres agences avertissant de dangers tels que les crues soudaines.

Pour l’instant, le département continuera à utiliser Twitter comme il l’a toujours fait, a déclaré Chism, “C’est bon pour prendre soin des gens, et c’est pour cela que nous sommes ici.”

Associated Press Writers Krutika Pathi à New Delhi; Jesse Bedayn à Denver; Jennifer Peltz à New York; James Pollard en Caroline du Sud ; Zen Soo à Hong Kong ; Margaret Stafford à Kansas City ; Russ Bynum à Savannah, Géorgie ; Jay Reeves à Birmingham, Alabama ; Amy Taxin dans le comté d’Orange, en Californie ; Rebecca Santana à la Nouvelle-Orléans ; Jonathan Mattise à Nashville, Tennessee ; et Michael Goldberg à Jackson, Mississippi, ont contribué à cette histoire.

Barbara Ortutay, Associated Press

Aimez-nous sur Facebook et suivez-nous sur Twitter.

cybersécuritémédias sociaux