Un lanceur d’alerte accuse Twitter de défaillances « extrêmes et choquantes » en matière de sécurité

Les allégations sont graves, détaillées et risquent de porter, tant celui qui les formule est une figure respectée du milieu américain de la cybersécurité. Après avoir un temps été responsable de la sécurité informatique du réseau social Twitter, Peiter Zatko accuse aujourd’hui l’entreprise de défaillances « extrêmes et choquantes » en la matière.

« Mudge », son surnom depuis qu’il fraie dans cette industrie, a transmis en juillet une plainte au gendarme boursier américain (Securities and Exchange Commission, ou SEC) ainsi qu’au régulateur américain du commerce (Federal Trade Commission, ou FTC) et s’est placé sous la protection de la loi américaine sur les lanceurs d’alerte. C’est le Washington Post et CNN qui ont révélé l’information, mardi 23 août, ayant eu accès à la plainte de l’ancien cadre.

« Twitter fait preuve d’une négligence flagrante dans plusieurs domaines de la sécurité informatique. Si ces problèmes ne sont pas corrigés, les régulateurs, les médias et les utilisateurs de la plate-forme seront choqués lorsqu’ils apprendront inévitablement les graves lacunes de Twitter en la matière », écrit Peiter Zatko dans une note interne datée de février, que l’entreprise lui a commandée peu après son licenciement et qui est jointe à la plainte.

Pas assez de ressources contre le spam

« Mudge » accuse l’entreprise de ne pas avoir alloué suffisamment de ressources pour lutter contre la désinformation et négligé le combat contre le spam au profit d’une croissance du nombre d’utilisateurs, à laquelle les dirigeants étaient financièrement intéressés. Selon lui, les affirmations récentes et récurrentes de l’entreprise sur la sophistication de ses dispositifs de lutte contre les faux comptes et le spam sont mensongères. « En réalité », écrit le lanceur d’alerte dans sa plainte, « des programmes informatiques simples, dépassés, sans supervision, associés à des équipes humaines surchargées, inefficaces et trop peu nombreuses ».

Sur ce point, les accusations de M. Zatko font écho à l’un des reproches faits à l’entreprise par le milliardaire Elon Musk qui, après avoir fait part de sa volonté de racheter le réseau social pour 44 milliards de dollars, tente de faire marche arrière et accuse ce dernier de ne pas être transparent quant à ses efforts pour lutter contre le spam. Cette question, cruciale pour l’avenir de l’entreprise, sera tranchée devant un tribunal de l’Etat américain du Delaware, à partir d’octobre.

Lire aussi : Article réservé à nos abonnés En conflit avec Elon Musk, Twitter reste économiquement fragile

Selon la plainte, Twitter aurait enfreint l’accord noué en 2011 avec l’autorité fédérale américaine de la concurrence censée le contraindre à muscler ses efforts en matière de sécurité. Le lanceur d’alerte dénonce ainsi des serveurs informatiques non mis à jour, et donc davantage vulnérables à des attaques, ainsi que la dissimulation du nombre réel d’incidents de sécurité. Si des manquements à cet accord se confirment, Twitter s’expose à de fortes amendes.

Un agent du gouvernement indien chez Twitter

Une des allégations les plus explosives de « Mudge » concerne l’Inde. Selon l’ancien patron de la sécurité, Twitter aurait embauché un agent du gouvernement indien, lui donnant ainsi accès à certaines données sensibles. Cette accusation intervient quelques jours après qu’un ancien salarié du réseau social a été condamné pour espionnage pour le compte de l’Arabie saoudite.

Selon la plainte de « Mudge », le nombre d’employés disposant d’un accès large et mal contrôlé aux données personnelles des utilisateurs et au code source de l’entreprise était beaucoup trop important et explique selon lui les nombreuses affaires de piratage qui ont émaillé l’histoire de la plate-forme.

Lire aussi Bill Gates, Elon Musk, Joe Biden, Apple, Uber… Un piratage a visé les comptes Twitter de personnalités et d’entreprises

La plainte soumise aux autorités américaines dépeint aussi un patron, Jack Dorsey à l’époque, totalement désintéressé des questions liées à la sécurité, les rares échanges qu’il consentait à son chef de la sécurité étant trop peu nombreux pour résoudre les problèmes de l’entreprise. M. Zatko dénonce aussi des carences dans l’organisation des systèmes informatiques de la plate-forme, l’exposant à des pannes importantes voire à des pertes définitives de données, le tout pouvant menacer son existence même.

« La sécurité et la vie privée sont depuis longtemps des priorités de l’entreprise » a déclaré au Washington Post une porte-parole de Twitter, dénonçant des allégations « pleines d’incohérences ». « M. Zatko a été licencié il y a plus de six mois de Twitter en raison de ses mauvaises performances et de son manque de leadership, et il semble maintenant essayer de causer du tort à Twitter, ses clients et ses actionnaires » a poursuivi cette porte-parole, défendant la politique de la société en matière de lutte contre le spam et les mécanismes stricts de contrôle de l’accès aux données personnelles de ses utilisateurs.

Une figure tutélaire de la cybersécurité

« Mudge » est une figure tutélaire de l’industrie depuis son témoignage, en 1998, devant le Sénat, cheveux longs et hirsutes aux côtés de ses camarades du légendaire groupe de hackers L0pht Heavy Industries. Il y avait déjà, à l’époque, dénoncé les manques cruels de mécanismes de protection sur Internet. Il a ensuite travaillé pour l’agence du ministère de la défense américain chargée de l’innovation, fait de la recherche pour le compte de Google et dirigé la sécurité de Stripe, une plate-forme de paiements électroniques.

Lire son portrait : « Mudge », célèbre hackeur et nouveau responsable de la sécurité de Twitter

« Mudge » était arrivé chez Twitter en 2020 auréolé de cette réputation – Jack Dorsey, le patron de l’époque, ne cachait d’ailleurs pas son admiration pour le personnage – et devait venir à bout des importantes difficultés de l’entreprise en matière de sécurité et de désinformation. Le réseau social venait d’être confronté à un nouveau piratage retentissant et embarrassant : des hackers avaient détourné les comptes pourtant certifiés et donc censément mieux protégés de Barack Obama, Joe Biden ou Elon Musk. En 2017, un employé avait volontairement désactivé le compte du président américain Donald Trump et, un an plus tard, l’entreprise avait demandé à plusieurs centaines de millions de ses utilisateurs de changer leurs mots de passe, craignant qu’ils n’aient été divulgués par erreur. Le tout sur fonds d’accusations récurrentes adressées au réseau social concernant ses manquements vis-à-vis de la désinformation.

L’arrivée de « Mudge » à ce poste crucial dans une entreprise au poids important dans le paysage médiatique et politique avait été perçue avec soulagement par de nombreux observateurs et interprétée comme un pas dans la bonne direction pour résoudre cette litanie de problèmes. « Je vais faire de mon mieux » avait promis Mudge dans un tweet posté peu après l’annonce de sa nomination, avec, déjà, une pointe de fatalisme.

Martin Untersinger