L'ancien responsable de la sécurité de Twitter accuse l'entreprise de graves problèmes de sécurité

Un ancien responsable de la sécurité de Twitter a déposé une divulgation de lanceur d’alerte accusant la plateforme de microblogging de tromper le public, de tromper les régulateurs fédéraux et le conseil d’administration de l’entreprise sur ses lacunes en matière de sécurité et ses problèmes de faux comptes.

Le lanceur d’alerte, Peiter Zatko, également connu sous le nom de “Mudge”, a déposé des plaintes totalisant plus de 200 pages le mois dernier auprès de la Securities and Exchange Commission (SEC), de la Federal Trade Commission (FTC) et du département de la Justice, qui ont été obtenues par CNN et le Washington Post.

Dans sa divulgation, Zatko a déclaré que les vulnérabilités de sécurité représentent une menace majeure pour les données personnelles des utilisateurs de Twitter, la sécurité nationale et la démocratie. Il a également accusé Twitter de tromper les actionnaires de l’entreprise et de violer un accord qu’elle avait conclu avec la FTC concernant le respect de certaines normes de sécurité.

Pour ceux qui ne le savent pas, Peiter Zatko est un hacker vétéran et un expert en sécurité, également connu sous le nom de “Mudge”, qui a été engagé comme responsable de la sécurité par l’ancien directeur de Twitter, Jack Dorsey, en novembre 2020 après un piratage majeur des systèmes de l’entreprise. Cependant, il a été licencié par la plateforme de médias sociaux en janvier 2022 pour “leadership inefficace et mauvaise performance”.

Dans sa divulgation en tant que lanceur d’alerte, Zatko déclare également que la direction de Twitter “a trompé son propre conseil d’administration et les régulateurs gouvernementaux sur ses vulnérabilités de sécurité”. Il a ajouté que certaines de ces susceptibilités pourraient “ouvrir la porte à l’espionnage ou à la manipulation étrangère, au piratage et aux campagnes de désinformation”.

Une autre de ses allégations était que l’entreprise ne supprime pas de manière fiable les données des utilisateurs après qu’ils ont annulé leurs comptes. Cela s’est produit dans certains cas, car l’entreprise avait perdu la trace des informations.

Le lanceur d’alerte déclare également que les dirigeants de Twitter manquent des ressources nécessaires pour comprendre complètement le véritable nombre de bots sur la plateforme – un élément important dans l’argument de Musk pour retirer son offre de rachat de 44 milliards de dollars. Il les accuse également d’avoir menti sur le nombre réel de bots et de comptes de spam à Elon Musk et aux actionnaires.

“Cela ne serait jamais ma première étape, mais je crois que je remplis encore mon obligation envers Jack et envers les utilisateurs de la plateforme,” a déclaré Zatko au Washington Post concernant sa décision de devenir lanceur d’alerte. “Je veux terminer le travail pour lequel Jack m’a engagé, qui est d’améliorer l’endroit.”

Zatko, en vertu des règles de lanceur d’alerte de la SEC, a droit à une protection légale contre les représailles, ainsi qu’à des récompenses monétaires potentielles.

Rachel Cohen, porte-parole du comité du renseignement du Sénat américain, a déclaré que le comité avait reçu la plainte de Zatko et “est en train d’organiser une réunion pour discuter des allégations plus en détail. Nous prenons cette affaire au sérieux.”

Une personne familière avec le mandat de Zatko chez Twitter a déclaré que l’entreprise avait examiné plusieurs allégations pendant son mandat et avait déterminé qu’elles étaient sensationnalistes et sans fondement, et qu’à certains moments, elles manquaient de compréhension des obligations de Twitter envers la FTC.

“M. Zatko a été licencié de son poste de cadre supérieur chez Twitter pour mauvaise performance et leadership inefficace il y a plus de six mois. Bien que nous n’ayons pas eu accès aux allégations spécifiques mentionnées, ce que nous avons vu jusqu’à présent est un récit sur nos pratiques de confidentialité et de sécurité des données qui est truffé d’incohérences et d’inexactitudes, et qui manque de contexte important,” a déclaré un porte-parole de Twitter dans un communiqué.

“Les allégations de M. Zatko et le timing opportuniste semblent conçus pour attirer l’attention et nuire à Twitter, à ses clients et à ses actionnaires. La sécurité et la confidentialité ont longtemps été des priorités à l’échelle de l’entreprise chez Twitter et nous avons encore beaucoup de travail devant nous.”

Le porte-parole a déclaré que Twitter “soutient pleinement” ses dépôts auprès de la SEC et son approche pour lutter contre le spam.

Le PDG de Twitter, Parag Agrawal, aurait envoyé un e-mail aux employés mardi matin pour aborder la plainte. “Étant donné l’attention portée à Twitter en ce moment, nous pouvons supposer que nous continuerons à voir plus de gros titres dans les jours à venir - cela ne fera qu’aggraver notre travail,” a-t-il déclaré au personnel.