Twitter Inc. avait “10 ans de retard” sur les normes de sécurité de l’industrie et n’avait que peu de connaissances sur les vastes quantités de données qu’il collectait, a déclaré mardi le lanceur d’alerte Peiter “Mudge” Zatko dans un témoignage dévastateur devant le Sénat.
“Ils ne savent pas quelles données ils possèdent, où elles se trouvent et ils ne savent pas comment les protéger”, a déclaré Zatko, qui a dirigé l’approche de sécurité de l’information de l’entreprise, lors d’un témoignage devant la commission judiciaire du Sénat.
En rejoignant Twitter TWTR,
fin 2020, Zatko a déclaré avoir découvert que “cette entreprise extrêmement influente avait plus d’une décennie de retard” sur les normes de l’industrie et lorsqu’il a fait part de ses inquiétudes concernant les vulnérabilités de sécurité aux dirigeants de l’entreprise, ils n’ont pas agi.
Au premier rang de ses préoccupations : la réticence de l’entreprise à retirer un agent étranger de la masse salariale de Twitter dans un bureau à l’étranger. “Il y avait des milliers de tentatives infructueuses d’accès aux systèmes internes qui se produisaient chaque semaine et personne ne s’en apercevait”, a-t-il déclaré, en raison du manque de journalisation de la manière dont ses systèmes internes étaient utilisés.
Plus tôt cette année, un ressortissant saoudien qui travaillait pour Twitter a été condamné par un jury fédéral pour avoir volé les données personnelles de dissidents qui critiquaient le régime saoudien et remis les données au gouvernement saoudien.
Tout aussi exaspérant, Zatko a cité une étude interne menée par des ingénieurs. Il n’a trouvé que pour environ 20% des données collectées par Twitter, savait-il «pourquoi ils l’ont obtenu, comment il était censé être utilisé, quand il était censé être supprimé».
En novembre 2020, Twitter TWTR,
a embauché Zatko – qui travaillait auparavant au Pentagone, un Google GOOGL,
GOOG,
division, et la société fintech Stripe – pour renforcer la cybersécurité et la confidentialité de l’entreprise à la suite d’un piratage très médiatisé qui aurait été dirigé par un adolescent de Floride en juillet 2020 qui a compromis les comptes Twitter de certaines des personnes les plus célèbres de la planète, y compris alors présidentiel candidat Joe Biden.
“Il n’est pas exagéré de dire qu’un employé de Twitter pourrait prendre en charge les comptes de tous les sénateurs dans cette salle”, a averti Zatko, qui a identifié des cas où des gouvernements étrangers, dont la Chine, ont cherché à accéder aux données des utilisateurs de Twitter par diverses méthodes coercitives.
Le témoignage préjudiciable, qui a souligné une réticence ou une indifférence apparente des dirigeants de Twitter tels que le co-fondateur Jack Dorsey et le conseil d’administration pour répondre aux préoccupations de Zatko, a incité les sénateurs à restructurer Twitter.
“Je ne vois pas comment [Twitter Chief Executive Parag] Agrawal peut maintenir sa position sur Twitter “si les affirmations de Zatko sont exactes, a déclaré le sénateur Charles Grassley, R-Iowa. Agrawal n’a pas accepté d’invitation à témoigner, a ajouté Grassley, car Twitter craignait que son témoignage ne compromette le litige en cours entre la société et le milliardaire Elon Musk pour acquérir la société. Musk tente de se retirer de l’accord de 44 milliards de dollars, qui sera soumis à la Delaware Court of Chancery en octobre.
Zatko pourrait également se retrouver au centre d’un examen réglementaire renouvelé de Twitter, comme ce fut le cas après que Frances Haugen a dénoncé Facebook il y a près d’un an. La société a depuis été renommée Meta Platforms Inc. META,
et est poursuivi par la Federal Trade Commission pour bloquer son projet d’achat de la société de réalité virtuelle Within.
“Twitter a un impact démesuré sur la politique et les événements mondiaux, et il a même essayé de se repositionner en tant qu’application d’actualités il y a plusieurs années. La plainte a déjà attiré l’attention des régulateurs, et [Zatko’s] un témoignage pourrait ajouter de l’huile sur le feu », a déclaré Jasmine Enberg, analyste principale d’Insider Intelligence.
« Je n’ai pas fait mes dénonciations par dépit ou pour nuire à Twitter ; loin de là. Je continue à croire en la mission de l’entreprise et à la racine de son succès », a déclaré Zatko aux législateurs mardi. “Mais ce succès ne peut se produire que si la confidentialité et la sécurité des utilisateurs de Twitter et du public sont protégées.”
Twitter a déclaré que les allégations de Zatko étaient « truffées d’inexactitudes » et que l’entreprise donne la priorité à la sécurité et à la confidentialité.
Zatko a été licencié pour “leadership inefficace et mauvaise performance”, a écrit Agrawal dans un e-mail aux employés, qualifiant les révélations de “faux récit truffé d’incohérences et d’inexactitudes” et présenté hors contexte.