Le lanceur d’alerte « maintient toutes les informations », selon son avocat

Le Washington Post et CNN ont révélé, mardi 23 août, le contenu d’un document transmis par l’ancien responsable de la sécurité de Twitter, Peiter Zatko – surnommé « Mudge » dans le milieu de la sécurité informatique –, à plusieurs régulateurs et commissions parlementaires américaines. Ces 200 pages affirment notamment que l’entreprise souffre de graves problèmes de sécurité, que la direction a minorés auprès de son conseil d’administration, et révèlent plusieurs cas particulièrement problématiques s’ils étaient confirmés, dont l’embauche d’un agent du renseignement indien par Twitter. M. Zatko avait été licencié par Twitter début 2022 pour « mauvaises performances ».

Lire aussi : Un lanceur d’alerte accuse Twitter de défaillances « extrêmes et choquantes » en matière de sécurité

John Tye, l’avocat de M. Zatko et le fondateur de l’organisation d’aide aux lanceurs d’alerte Whistleblower Aid, a répondu aux questions du Monde.

Depuis deux jours, Twitter se défend en présentant les révélations de M. Zatko comme des exagérations publiées par un ancien employé mécontent. Est-ce votre avis ?

Absolument pas. C’est la défense classique des organisations qui cherchent à attaquer l’auteur des révélations, sa personne ou sa crédibilité, plutôt que de répondre sur le contenu des révélations. C’est ridicule : Peiter Zatko a fait un excellent travail chez Twitter, et il a précisément été recruté par Jack Dorsey [fondateur et ancien PDG] parce qu’il avait la crédibilité nécessaire pour sortir Twitter des problèmes de sécurité que l’entreprise avait elle-même créés au cours des dix dernières années.

Son CV est impeccable : il y a trente ans, il faisait partie de ceux qui ont créé la communauté du hacking éthique. Il poussait Microsoft à répondre, de manière éthique et légale, aux problèmes de sécurité, et il a témoigné devant le Congrès américain dès 1998 sur ces sujets. Il jouit en outre d’une crédibilité très forte, non seulement dans la communauté de la cybersécurité, mais aussi dans celle du renseignement. Avant Twitter, il a travaillé pour la Darpa [l’Agence de recherche de l’armée américaine] sur des projets qui sont à la pointe des capacités offensives et défensives des Etats-Unis. Il a depuis toujours la réputation d’un homme éthique et honnête ; si c’est la meilleure défense que Twitter a pu trouver, alors ils n’ont pas grand-chose.

Lire son portrait : « Mudge », célèbre hackeur et nouveau responsable de la sécurité de Twitter

Il a toutefois la réputation d’avoir été proche de Jack Dorsey, qui a quitté la direction de l’entreprise à la fin de 2021, mais d’avoir eu des rapports plus difficiles avec son successeur, Parag Agrawal.

Quand M. Agrawal a été nommé PDG, M. Zatko a eu un entretien avec lui. Il lui a dit très clairement que, s’il souhaitait qu’il parte pour pouvoir choisir son propre chef de la sécurité, il partirait. M. Agrawal a dit : « Non, je souhaite que tu restes. » Mais M. Zatko a été licencié moins de deux mois plus tard, après avoir fait part de ses inquiétudes au conseil d’administration. En tout état de cause, il maintient toutes les informations qui figurent dans les documents transmis aux régulateurs.

Vous avez dit à la presse américaine que M. Zatko n’avait eu aucun contact avec Elon Musk, dont le procès contre Twitter doit s’ouvrir en octobre. L’un des enjeux de ce procès sera la question des comptes automatisés, qui sont un aspect important des révélations faites par M. Zatko. Craint-il que ces révélations soient instrumentalisées dans la procédure ?

Cela ne fait pas partie de ses préoccupations. Il avait commencé à sonner l’alarme en interne en décembre 2021. Quand il a été licencié, en janvier, il a immédiatement commencé à travailler sur la manière dont il pouvait alerter légalement les forces de l’ordre et les régulateurs. Tout cela s’est passé des mois avant qu’Elon Musk s’intéresse à un rachat de Twitter. Ces révélations auront peut-être un impact sur la procédure, mais ce n’était en aucune manière sa motivation.

Lire aussi : Elon Musk somme l’ex-patron de Twitter de lui fournir des documents

Il est rare que des personnes aussi haut placées dans la hiérarchie d’une entreprise ou d’une administration dénoncent des manquements de cette manière…

M. Zatko est quelqu’un de particulièrement courageux, qui a travaillé pendant des décennies pour devenir quelqu’un qui serait en position de faire la différence. Si l’on regarde en arrière, ces dix dernières années, la plupart des lanceurs et lanceuses d’alerte étaient célibataires, sans enfants, sans crédit… Une fois que vous avez une famille et une carrière, c’est très difficile de se dresser contre les structures de pouvoir. Cela reste effrayant pour M. Zatko : il a deux jeunes enfants et il s’inquiète bien sûr pour sa carrière, sa sécurité financière…

Mais je suis convaincu que notre modèle de révélations par le biais des canaux légaux fonctionne et permet aux personnes témoins de graves violations de la loi d’agir plus facilement. M.  Zatko a transmis tous les documents pertinents en sa possession aux régulateurs et aux forces de l’ordre. Désormais, nous espérons simplement qu’ils feront leur travail et enquêteront sur ces révélations.

Damien Leloup