Les allégations d'espionnage par d'anciens employés de Twitter pour l'Arabie saoudite soulignent les risques pour les entreprises de la Silicon Valley détenant des données sensibles qui rendent les plateformes mûres pour l'espionnage.

Les deux Saoudiens et un citoyen américain auraient travaillé ensemble pour dévoiler les détails de propriété derrière les comptes Twitter des dissidents au nom du gouvernement de Riyad et de la famille royale, selon un acte d'accusation fédéral.

Les analystes disent que l'incident montre à quel point les bases de données massives détenues par les géants de la Silicon Valley peuvent être des cibles juteuses pour les agences de renseignement, ce qui peut souvent exercer une pression sur les initiés de l'entreprise.

"L'affaire Twitter montre à quel point les données ne sont pas seulement un atout mais un passif pour les entreprises, " a déclaré Adrian Shahbaz, directeur de recherche pour la technologie et la démocratie au groupe de défense des droits de l'homme Freedom House.

« Pour les entreprises qui collectent des quantités massives de données, le défi est de savoir comment le protéger non seulement des pirates, mais d'employés malhonnêtes."

Shahbaz a déclaré que des plateformes telles que Twitter et Facebook restent des outils importants pour les militants des droits humains, mais que les utilisateurs doivent être conscients du potentiel de fuites de données, à la fois dans leur pays, et des initiés.

"C'est alarmant de voir comment les gouvernements utilisent des tactiques pour exploiter les faiblesses inhérentes à Internet... " il a dit.

"C'est un jeu constant du chat et de la souris entre les utilisateurs et les gouvernements très riches en ressources."

Bruce Schneier, chercheur en sécurité et membre du Berkman Klein Center for Internet &Society de l'Université Harvard, a déclaré qu'il n'était pas surprenant de voir les gouvernements cibler les bases de données des plates-formes technologiques.

"Nous supposons tous que cela arrive souvent. Mais cette (accusation) revient rarement, " a déclaré Schneier.

Pas de match pour la Russie

Schneier a déclaré qu'il y avait depuis longtemps des craintes que des initiés chinois ou russes soient contraints d'introduire des vulnérabilités dans les principales plates-formes logicielles, et que les entreprises peuvent être mal équipées pour contrecarrer ces efforts.

"Le gouvernement de la Russie contre Twitter n'est pas un combat loyal, " at-il dit. " Il est difficile de blâmer les entreprises technologiques. "

Parce que les grandes entreprises technologiques ont des ingénieurs du monde entier, Schneier a déclaré que cela permet aux services de renseignement de rechercher et de faire pression sur leurs expatriés à des fins d'espionnage.

L'affaire met en évidence le potentiel de menaces internes, a déclaré James Lewis du Center for Strategic and International Studies à Washington.

"Les menaces internes remontent aux temps bibliques, " il a dit, notant que les suspects ont probablement été arrêtés parce qu'ils "ont fait un travail terrible pour couvrir leurs traces".

Les vérifications des antécédents suffisent-elles ?

Selon un acte d'accusation descellé mercredi, Le citoyen américain Ahmad Abouammo et le ressortissant saoudien Ali Alzabarah ont été recrutés en 2014-2015 pour utiliser leurs positions sur Twitter afin d'accéder à des informations privées liées aux comptes de détracteurs de Riyad.

Ahmed Almutairi, un responsable marketing lié à la famille royale, était un intermédiaire essentiel qui organisait les contacts, ont dit les procureurs.

Twitter a déclaré dans un communiqué qu'il restreignait l'accès aux informations de compte sensibles "à un groupe limité d'employés formés et contrôlés".

Mais John Dickson, un ancien officier de guerre de l'information de l'armée de l'air américaine qui travaille maintenant pour le cabinet de conseil en sécurité Denim Group, dit des entreprises privées, même dans la Silicon Valley, ne sont pas équipés pour les vérifications d'antécédents nécessaires pour trouver des espions potentiels.

« La plupart des employeurs effectuent des vérifications sommaires des antécédents pour les éléments les plus évidents tels que les casiers judiciaires ou la faillite, " il a dit.

"Aucun d'entre eux ne fait un semblant de vérification des antécédents des menaces d'État-nation."

Dickson a déclaré qu'il n'était pas clair si les plates-formes technologiques étaient conscientes de la sensibilité des données qu'elles détiennent, et le tirage de ces informations pour les services de renseignement.

"Ils agissent toujours comme des sociétés de médias sociaux, " il a dit.

" Leur valeur par défaut est d'obtenir autant de connexions que possible, et l'effet de réseau améliore la plate-forme."

Shahbaz a déclaré que le dernier cas illustre la nécessité d'une réglementation exigeant que les plates-formes technologiques limitent la quantité de données qu'elles collectent et conservent.

« Le gouvernement pourrait avoir un rôle à jouer en termes de législation sur la confidentialité des données, " il a dit.

"Il y a lieu de collecter le strict minimum de données auprès des utilisateurs et de permettre aux utilisateurs de se retirer" de certains types de collecte de données.

Il a déclaré que les entreprises devraient également être tenues d'informer les victimes si leurs données ont été compromises "afin qu'elles puissent prendre des mesures pour se protéger".

© 2019 AFP