L’ancien chef de la sécurité de Twitter a alerté sur des défaillances présumées dans les systèmes de sécurité physiques et numériques pour la protection de la vie privée des utilisateurs et la modération des contenus.
Peiter « Mudge » Zatko a été engagé comme chef de la sécurité de Twitter par le cofondateur de l’entreprise, Jack Dorsey, en novembre 2020, mais a été licencié en janvier 2022 par l’actuel PDG, Parag Agrawal, qui a assumé ce rôle après le départ de Jack Dorsey en novembre 2021.
Peiter Zatko a déposé son rapport de 86 pages auprès de la Securities and Exchange Commission en juillet. Le rapport suggère que la sécurité de Twitter était dans un état lamentable en 2021, quelque 10 ans après l’accord conclu entre la Federal Trade Commission et Twitter sur des lacunes en matière de sécurité.
Haro sur les failles de sécurité
Le rapport suggère notamment qu’en 2021, plus de la moitié des 500 000 serveurs des centres de données de Twitter utilisaient des noyaux ou des systèmes d’exploitation non conformes, et que nombre d’entre eux ne pouvaient pas prendre en charge le chiffrement au repos sur les serveurs.
Le rapport indique également que les mises à jour de logiciels et de sécurité sont désactivées sur plus de 30 % des ordinateurs des employés, qu’il n’existe pas de système de gestion des appareils mobiles pour les téléphones des employés et que le personnel n’est « pratiquement pas surveillé » pour éviter les risques de menaces internes. Malgré cela, le témoin affirme qu’environ la moitié des 10 000 employés de Twitter ont eu accès aux systèmes de production en direct et aux données sensibles des utilisateurs.
Une autre accusation de Peiter Zatko concerne les capacités du centre de données de Twitter : selon l’ancien CSO, Twitter a été confronté à une défaillance en cascade du centre de données au printemps 2021 qui était « sur le point de mettre Twitter hors ligne pendant des semaines, des mois ou de façon permanente ». Peiter Zatko affirme qu’il avait averti le conseil d’administration plusieurs mois auparavant et que Parag Argawal l’avait induit en erreur.
Des manquements persistants et des mensonges
Twitter manquait également d’environnements de développement et de test pour le nouveau code, affirme Peiter Zatko, ce qui signifie que les ingénieurs « utilisent des données de production en direct et testent directement sur le service commercial, ce qui entraîne des interruptions de service régulières. » Le 6 janvier 2021, le jour de l’attaque contre le Capitole américain, Peiter Zatko affirme que tous les ingénieurs avaient accès à l’environnement de production de Twitter, et pourtant il n’y avait aucun journal pour enregistrer l’accès au système.
Peiter Zatko accuse Twitter d’avoir fait des déclarations fausses et trompeuses aux utilisateurs sur la sécurité, la confidentialité et l’intégrité de la plateforme. Il affirme qu’en décembre 2021, Parag Argawal lui a ordonné de fournir des documents trompeurs concernant des « informations de sécurité d’informations vitales » au conseil d’administration de Twitter. Peiter Zatko affirme également que Twitter était complice des demandes de gouvernements étrangers visant à exploiter, surveiller et censurer la plateforme, le personnel et les opérations de Twitter.
De son côté, Twitter affirme que le rapport de Peiter Zatko est truffé d’incohérences et d’inexactitudes, et qu’il a été licencié pour « leadership inefficace et mauvaises performances » (via The Verge).
La question des bots de nouveau sur la table
Peiter Zatko est bien connu dans le secteur de la cybersécurité. Avant de rejoindre Twitter, il a occupé des postes à responsabilité en matière de cybersécurité chez Google, Stripe et au sein de la DARPA, une agence du département américain de la Défense chargée de la recherche et développement des nouvelles technologies destinées à un usage militaire.
Son rapport pourrait avoir une incidence sur la bataille juridique en cours entre Elon Musk et Twitter. Elon Musk a annulé son offre publique d’achat de 44 milliards de dollars après avoir affirmé que Twitter avait un problème de bots plus important qu’il ne l’admet. Parag Argawal affirme que moins de 5 % des comptes Twitter sont des bots. Toutefois, Peiter Zatko affirme que les cadres supérieurs de Twitter gagnent des primes en fonction de la croissance du nombre d’utilisateurs actifs quotidiens monétisables de Twitter, et non en fonction de l’élimination des bots et des spams.
Parag Argawal sait très bien que les dirigeants de Twitter ne sont pas incités à « détecter avec précision ou à signaler le nombre total de spams sur la plateforme », peut-on lire dans le rapport.
La FTC a conclu un accord avec Twitter en 2011 pour résoudre les accusations selon lesquelles Twitter a trompé les consommateurs sur la confidentialité en ne protégeant pas leurs informations personnelles. Selon la plainte de la FTC, des pirates informatiques avaient pris le contrôle de la plateforme Twitter à deux reprises en 2009. Le règlement ordonne à Twitter de mettre en place un programme complet de sécurité de l’information afin d’identifier, de prévenir, de détecter et de répondre aux cyberattaques. Les termes de l’ordonnance de consentement sont en vigueur jusqu’en mars 2031.
Toutefois, le lanceur d’alerte constate que Twitter a peu progressé en matière de sécurité depuis l’ordonnance de consentement de la FTC. L’année précédant la nomination de Peiter Zatko chez Twitter, la société a été piratée par des adolescents qui ont obtenu les mots de passe des employés en appelant certains d’entre eux et en les leur demandant. Cela a permis aux attaquants d’accéder au panneau d’administration de Twitter et de s’approprier presque librement la plateforme.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));