Les mille vies de « Mudge », le lanceur d’alerte de Twitter

Mai 1998 : devant la commission des affaires gouvernementales du Sénat des Etats-Unis, sept témoins un peu inhabituels sont auditionnés. La plupart portent les cheveux longs et d’épaisses lunettes, et, de manière exceptionnelle, le Sénat les a autorisés à témoigner sous pseudonyme. Les sept hommes font partie du collectif de hackers L0pht, groupe mythique de chercheurs en sécurité informatique basé à Boston (Massachusetts), et ils sont là pour témoigner des risques majeurs qui pèsent, selon eux, sur la stabilité d’Internet.

L’homme qui agit ce jour-là comme porte-parole du groupe se fait appeler « Mudge ». Vingt-quatre ans après son premier passage au Sénat, ce mardi 13 septembre 2022, il sera à nouveau entendu par une commission parlementaire. Cette fois, il témoignera sous son nom d’état civil, Peiter Zatko. Chef de la sécurité informatique de Twitter jusqu’en début d’année, il a été remercié, dans des circonstances encore peu claires. En août, il a transmis à plusieurs régulateurs et commissions parlementaires aux Etats-Unis un épais dossier alléguant de graves manquements de la part de son ancienne entreprise, et a demandé son placement sous le statut de lanceur d’alerte.

Lire aussi : Un lanceur d’alerte accuse Twitter de défaillances « extrêmes et choquantes » en matière de sécurité

Il affirme avoir été licencié après avoir sonné l’alarme, en interne, sur toute une série de graves dysfonctionnements, comme l’existence de multiples serveurs non sécurisés ou l’embauche par Twitter d’un agent des services indiens de renseignement. Twitter, de son côté, affirme que M. Zatko agit dans un esprit de revanche, après un licenciement pour insuffisances professionnelles. Début septembre, la presse américaine révélait que le réseau social avait accepté de verser une prime de licenciement de plus de 7 millions d’euros à son ancien responsable de la sécurité – les détails de cet accord sont confidentiels.

Recherche militaire

Entre ces deux auditions parlementaires, la carrière de « Mudge » a été assez peu classique. Ses compétences techniques sont quasi universellement reconnues – il a été l’un des premiers à travailler sur les failles dites de « buffer overflow », qui tirent parti des saturations de la mémoire-tampon d’une machine pour faire s’exécuter du code malveillant.

Mais dans un milieu plutôt libertarien et anarchiste, M. Zatko se détache comme l’un des hackers connus qui n’hésitent pas à collaborer avec des grandes entreprises, et le gouvernement américain, pour les aider à colmater des failles de sécurité. Au début des années 2000, L0pht devient une entreprise de sécurité informatique, et « Mudge » en prend la tête – elle sera rachetée en 2004 par l’éditeur d’antivirus Symantec.

En 2010, après avoir travaillé pour plusieurs entreprises de sécurité informatique, M. Zatko rejoint l’un des plus prestigieux centres de recherche américains, la Darpa (Defense Advanced Research Projects Agency), la branche recherche de l’armée américaine. Il y décide de l’attribution de projets innovants ; sur sa photographie officielle, les cheveux longs et les lunettes ont disparu, il pose, en costume-cravate, devant le drapeau américain. Sa femme, Sarah Lieberman, connaît bien l’agence : le couple s’est rencontré lorsqu’ils travaillaient tous deux pour une entreprise de sécurité informatique, mais elle a auparavant exercé comme mathématicienne à la Darpa.

A sa sortie de l’agence, il enchaîne les contrats chez Motorola Mobility, puis auprès de l’équipe de sécurité de Google, avant de rejoindre la start-up de paiement Stripe, fondée par le créateur de Twitter, Jack Dorsey. Les deux hommes s’entendent bien ; lorsque des dizaines de comptes Twitter de célébrités sont piratés en 2020, Jack Dorsey lui propose de venir diriger l’équipe de sécurité de l’entreprise, dont il est toujours le PDG en parallèle de Stripe.

Mais la greffe ne prend pas vraiment. Brillant, bon communicant, « Mudge » peut aussi se montrer arrogant, témoignent plusieurs employés de Twitter dans la presse américaine. Jack Dorsey et lui ont une relation de confiance ; ce n’est pas le cas avec Parag Agrawal, le responsable des technologies de Twitter. En novembre 2021, lorsque Jack Dorsey quitte la direction de l’entreprise, il est remplacé par Parag Agrawal. « Mudge » explique avoir alors proposé sa démission, ce que M. Agrawal aurait refusé, lui réitérant sa confiance. Cinq mois plus tard, « Mudge » est pourtant licencié.

L’ombre d’Elon Musk

Que s’est-il passé dans cette période ? Twitter affirme que son ancien responsable de la sécurité informatique n’a pas fait ses preuves. « Mudge », lui, assure qu’il a multiplié durant ces cinq mois les messages d’alerte sur la sécurité des infrastructures de l’entreprise, et tenté d’alerter le conseil d’administration sur des éléments que le PDG cherchait à leur dissimuler.

Le conflit, très public, est aussi alimenté par Elon Musk, qui cherche depuis plusieurs mois à se dépêtrer de sa tentative d’OPA ratée sur le réseau social. Après avoir proposé de racheter Twitter, le milliardaire a fait subitement machine arrière, expliquant que sa cible aurait menti sur plusieurs éléments, et notamment le volume de comptes automatisés sur sa plate-forme. Une explication qui ne convainc pas tous les spécialistes du marché, certains estimant que ce sont plutôt des problèmes de montage financier qui poussent ce dernier à chercher l’annulation de son offre.

Lire aussi : Accusation de fraudes chez Twitter : le lanceur d’alerte « maintient toutes les informations », selon son avocat

Elon Musk s’est appuyé sur les révélations de M. Zatko pour tenter de renforcer son recours – fin août, l’avocat de M. Zatko affirmait au Monde que ce dernier n’avait eu aucun contact avec le milliardaire, et que sa démarche n’avait absolument aucun rapport avec la procédure lancée par Elon Musk. Une première audience dans cette affaire est prévue le 17 octobre devant un tribunal du Delaware.

Dans l’intervalle, l’ombre d’Elon Musk devrait malgré tout porter sur l’audience au Sénat, ce 13 octobre, même s’il est probable que l’audition sera surtout consacrée à des questions très politiques. Les démocrates estiment que Twitter fait, depuis des années, preuve de négligence dans sa modération, et n’agit pas assez contre les théories du complot et les appels à la violence portés par une partie des soutiens de Donald Trump ; à l’inverse, les élus républicains estiment, sans réelles preuves, que les conservateurs sont « censurés » par le réseau social.

Lire aussi : Elon Musk accuse Twitter d’avoir « fraudé » et de l’avoir empêché de « discerner la vérité » sur le réseau social

Damien Leloup