Crédit :Pixabay/CC0 Domaine public
Peiter Zatko, l'ancien chef de la sécurité de Twitter qui est devenu dénonciateur, a déclaré mardi au Comité judiciaire du Sénat que les pratiques de sécurité de la société de médias sociaux étaient si faibles que les gouvernements étrangers ont pu placer des agents sur la liste de paie de la société.
Zatko a également déclaré aux législateurs que les régulateurs américains ne sont pas en mesure de contrôler les entreprises technologiques, désignant la Federal Trade Commission comme étant au-dessus de sa tête et permettant aux entreprises technologiques de "noter leurs propres devoirs". La pratique américaine consistant à infliger aux entreprises des amendes uniques est "comptée" par Twitter et d'autres entreprises technologiques comme le coût de faire des affaires, a-t-il déclaré.
Son témoignage fait suite à des plaintes qu'il a déposées auprès de la FTC, de la Securities and Exchange Commission et du ministère de la Justice. Le Washington Post a révélé ses révélations pour la première fois le mois dernier.
Malgré l'audience, le Congrès ne devrait pas prendre de mesures pour contrôler le comportement de Twitter ou d'autres sociétés de médias sociaux. Deux projets de loi du Sénat qui traiteraient de la confidentialité des données pour les enfants et les mineurs ont été approuvés par la commission sénatoriale du commerce, mais ils n'ont pas reçu d'action au sol.
La membre de la magistrature du Sénat Amy Klobuchar, D-Minn., A cité le manque d'action lors de l'audience de mardi. "Nous n'avons pas adopté un seul projet de loi du Sénat américain en matière de concurrence, de respect de la vie privée, de meilleures agences de financement", a-t-elle déclaré. "Je pense que nous ferions mieux de mettre le miroir sur nous-mêmes."
Zatko a déclaré que le gouvernement indien avait pu placer un agent dans le bureau indien de Twitter en tant qu'employé pendant que l'entreprise et le gouvernement négociaient les politiques de contenu de la plateforme. "J'ai vu avec une grande confiance un agent étranger placé de l'Inde pour comprendre les négociations", a-t-il dit, "et à quel point elles allaient pour ou contre" le parti Bharatiya Janata au pouvoir en Inde.
Depuis 2021, le gouvernement indien a demandé à Twitter de supprimer jusqu'à 1 400 comptes, selon un rapport de Bloomberg News en juillet qui citait des sources anonymes. Twitter a contesté les ordonnances du gouvernement indien devant les tribunaux en juin ; le résultat est en attente.
Le président du pouvoir judiciaire du Sénat, Richard J. Durbin, D-Ill., A qualifié les allégations de Zatko de préoccupantes. Le domaine de grande préoccupation est l'accès des gouvernements étrangers et des agences étrangères aux données que les utilisateurs américains peuvent fournir à la plate-forme, a-t-il déclaré, ajoutant que les Américains "n'ont aucune idée qu'ils sont vulnérables à cette possibilité".
En août, un ancien responsable de Twitter accusé d'espionnage pour le compte de l'Arabie saoudite a été condamné à San Francisco pour six chefs d'accusation. Les procureurs ont déclaré qu'un conseiller du prince héritier saoudien Mohammed ben Salmane avait recruté Ahmad Abouammo pour utiliser ses connaissances d'initiés pour accéder aux comptes Twitter et déterrer des informations personnelles sur les dissidents saoudiens.
Zatko a déclaré que Twitter avait peu de pratiques de sécurité standard utilisées dans plusieurs entreprises technologiques et autres avec des protocoles spécifiant quels employés ont accès à quels systèmes informatiques et/ou journaux de maintenance de l'activité des employés. Des milliers d'ingénieurs de Twitter ont accès au système de production de l'entreprise ou aux réseaux informatiques qui hébergent la plate-forme de médias sociaux et les données des utilisateurs, a-t-il déclaré.
De nombreuses entreprises créent un réseau séparé où les nouveaux employés sont formés et les nouvelles offres sont testées avant d'être lancées sur le système de production, a déclaré Zatko.
Twitter n'a pas conservé de journaux indiquant quels ingénieurs ont accédé à quels systèmes, a-t-il déclaré. En conséquence, des milliers d'employés ont accès à toutes les informations des utilisateurs de Twitter, faisant de l'entreprise une cible privilégiée pour la collecte de renseignements sur les utilisateurs par les gouvernements étrangers, a déclaré Zatko.
Le compte Twitter du président Barack Obama a été piraté en 2009. Les pirates ont également accédé au compte d'Obama en 2020 ainsi qu'à ceux du candidat présidentiel de l'époque, Joe Biden, du fondateur de Tesla, Elon Musk, et de 100 autres personnes.
Zatko a décrit une entreprise tellement concentrée sur l'ajout de nouveaux utilisateurs et l'augmentation des revenus qu'elle n'a épargné ni temps, ni ressources, ni personnel pour mettre en place des mesures de sécurité. Twitter a permis aux entreprises chinoises qui auraient pu avoir des liens avec le gouvernement de faire de la publicité sur la plateforme même si elle est interdite en Chine, a déclaré Zatko. Les utilisateurs qui ont cliqué sur ces publicités peuvent s'être exposés à la collecte de données par les entreprises chinoises, a-t-il déclaré.
"Twitter était une entreprise qui était gérée par le risque et par les crises, au lieu d'une entreprise qui gère les risques et les crises", a déclaré Zatko.
Les hauts dirigeants de l'entreprise ne voulaient pas entendre parler de failles de sécurité, a déclaré Zatko.
Les régulateurs américains "au-dessus de leur tête"
Zatko a déclaré que les agences fédérales américaines sont terriblement inadéquates pour contrôler les entreprises technologiques, notant que la FTC en particulier n'a pas été en mesure d'appliquer pleinement un décret de consentement de 2011 avec Twitter concernant la protection des données des utilisateurs.
"Je pense que la FTC, honnêtement, est un peu au-dessus de leur tête … par rapport à la taille des grandes entreprises technologiques et au défi qu'elles ont contre elles", a-t-il déclaré.
Twitter avait plus peur des régulateurs étrangers, y compris l'agence française de protection des données, connue sous le nom de CNIL, que de la FTC, a déclaré Zatko. Contrairement à la FTC, qui impose des amendes ponctuelles, la France et d'autres organismes de réglementation étrangers sont plus susceptibles d'imposer des solutions structurelles aux entreprises technologiques qui pourraient nuire à leurs résultats et attirer l'attention des investisseurs, a déclaré Zatko.
En mai, la FTC a infligé une amende de 150 millions de dollars à Twitter pour avoir enfreint un décret de consentement de 2011 en collectant les informations personnelles des clients dans le but déclaré de sécurité, puis en les exploitant à des fins commerciales.
2022 CQ-Roll Call, Inc., Tous droits réservés. Distribué par Tribune Content Agency, LLC. Le dénonciateur de Twitter apporte ses critiques au Congrès