L’ancien responsable de la sécurité de Twitter, Peiter Zatko, a déposé une plainte contre la plate-forme auprès du régulateur boursier américain (la SEC), du ministère de la Justice et de l’autorité américaine de la concurrence. Il a envoyé une copie de la plainte à plusieurs parlementaires américains. Nos confrères du Washington Post ont obtenu une copie de ce document de plus de 80 pages.
Licencié en janvier 2022, l’expert en cybersécurité y dresse un portrait peu flatteur de son ancien employeur. Il accuse Twitter d’être incapable de protéger ses 238 millions d’utilisateurs quotidiens. Lors de son passage éclair dans l’entreprise, Zatko affirme avoir été témoin de « déficiences extrêmes et flagrantes » dans le domaine de la sécurité.
Pour mémoire, Peiter Zatko a été engagé par Jack Dorsey, fondateur de Twitter, à la fin de l’année 2020. Auparavant connu sous le pseudonyme de « Mudge », Zatko a été embauché suite au piratage du réseau social quelques mois plus tôt. Cet été-là, un hacker est parvenu à prendre le contrôle du compte de 130 célébrités, dont Elon Musk, Joe Biden, Barack Obama, Kim Kardashian et Bill Gates. L’attaquant a ensuite déployé une vaste arnaque aux cryptomonnaies. Zatko explique avoir accepté la proposition de Jack Dorsey afin « d’améliorer la santé de la conversation publique ».
Dans sa démarche, Zatko, qui se présente comme un lanceur d’alerte, est soutenu par Whistleblower Aid. Cette organisation d’assistance juridique a auparavant offert son soutien à Frances Haugen, la lanceuse d’alerte en croisade contre Meta.
Mensonges, négligences et espionnage
Dans sa plainte, Peiter Zatko affirme que les dirigeants de Twitter ont pris l’habitude de mentir aux autorités. Le réseau social aurait notamment menti à la Federal Trade Commission (FCC), le régulateur des télécoms, en 2011. Twitter avait assuré disposer d’un plan pour renforcer sa sécurité. Pourtant, la moitié des serveurs de l’entreprise ne sont pas à jour, allègue l’ancien hacker. Les logiciels des serveurs sont obsolètes et vulnérables, ce qui met en danger les données des utilisateurs, souligne la plainte.
« Twitter est manifestement négligent dans plusieurs domaines de la sécurité de l’information », avance Peiter Zatko, assurant « vouloir terminer le travail pour lequel Jack m’a engagé ».
L’expert en sécurité dénonce aussi l’existence d’un logiciel permettant à des milliers d’employés de consulter les données des internautes. Ce logiciel interne, essentiellement destiné à la modération, permet par ailleurs de supprimer un compte, le bannir temporairement, le verrouiller, ou de changer l’adresse mail liée. L’accès massif à ce système est à l’origine de nombreux piratages, dont le hack de 2020 qui a abouti à l’embauche de Peiter Zatko. Pour accéder au cœur de Twitter, il suffit qu’un pirate piège un salarié, avec un mail de phishing, ou échange un accès contre rémunération.
De plus, ce système de modération interne serait exploité par des espions mandatés par des gouvernements. D’après Zatko, l’Inde aurait contraint Twitter à fournir un accès au logiciel à un de ses agents. Un ancien employé aurait également utilisé le système pour espionner des dissidents à la demande de l’Arabie Saoudite.
Sur le même sujet : Twitter confirme, les données de 5,4 millions d’internautes ont été piratées
Elon Musk aurait raison : Twitter cacherait le nombre de faux comptes
Par ailleurs, l’ancien cadre de Twitter donne raison à Elon Musk. D’après Zatko, le réseau social sous-estimerait sciemment le nombre de faux comptes présents sur la plate-forme. Afin de protéger leurs bénéfices, les dirigeants auraient privilégié la croissance du parc d’utilisateurs à la chasse aux bots.
Les avocats d’Elon Musk se sont donc promptement tournés vers Zatko pour obtenir son témoignage. Grâce aux révélations de l’ancien hacker, le milliardaire espère remporter son procès contre Twitter. La plate-forme veut contraindre le fondateur de Tesla à honorer son offre d’achat de 44 milliards de dollars. Pour retirer son offre sans devoir verser de pénalités, Musk avance que Twitter ment au sujet des bots depuis le début des négociations.
« Nous avons déjà cité M. Zatko à comparaître et nous trouvons étrange son licenciement et celui d’autres employés clefs à la lumière de ce que nous avons découvert », déclare Alex Spiro, l’un des avocats d’Elon Musk.
Le réseau social assure que seulement 5 % des comptes sont factices. Twitter affirme également supprimer plus d’un million de faux comptes par jour, soit plus de 300 millions de suppressions par an.
Twitter dément
Twitter a fermement démenti les accusations portées par son ancien employé. D’après la plate-forme de microblogging, Peiter Zatko, qui a été licencié en raison « d’un leadership inefficace et de mauvaises performances », cherche de « manière opportuniste à nuire à Twitter, à ses clients et à ses actionnaires ». Le réseau social déclare que les faits énoncés dans la plainte sont erronés, exagérés, obsolètes et « criblés d’inexactitudes ».
« La sécurité et la protection de la vie privée sont depuis longtemps les principales priorités de l’entreprise », assure Rebecca Hahn, porte-parole de Twitter.
De son côté, Parag Agrawal, PDG de Twitter depuis le départ de Jack Dorsey en 2021, s’engage à « défendre l’intégrité de l’entreprise » et « à remettre les pendules à l’heure ». Malgré tout, le lanceur d’alertes est parvenu à attirer l’attention des autorités américaines. Le Sénat des États-Unis souhaiterait en effet s’entretenir avec Zatko au sujet de sa plainte. Les allégations de « Mudge » ont pénalisé l’action boursière du groupe. L’action a perdu 3,67 % après les révélations relayées par le Washington Post.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Washington Post
