Le logo de Twitter apparaît au-dessus d'un poste de traite sur le parquet de la Bourse de New York, le 29 novembre 2021. De nouvelles révélations surprenantes de l'ancien responsable de la sécurité de Twitter, Peiter Zatko, ont soulevé de nouvelles questions sérieuses sur la sécurité du service de la plateforme , sa capacité à identifier et à supprimer les faux comptes et la véracité de ses déclarations aux utilisateurs, aux actionnaires et aux régulateurs fédéraux. Crédit :AP Photo/Richard Drew, Fichier
De nouvelles révélations surprenantes de l'ancien responsable de la sécurité de Twitter, Peiter Zatko, ont soulevé de nouvelles questions sérieuses sur la sécurité du service de la plateforme, sa capacité à identifier et supprimer les faux comptes, et la véracité de ses déclarations aux utilisateurs, aux actionnaires et aux régulateurs fédéraux.
Zatko, mieux connu sous son nom de hacker "Mudge", est un expert respecté en cybersécurité qui s'est fait connaître pour la première fois dans les années 1990 et a ensuite occupé des postes de direction à la Defense Advanced Research Agency du Pentagone et à Google. Twitter l'a licencié de son poste de sécurité au début de cette année pour ce que l'entreprise a qualifié de "leadership inefficace et de mauvaises performances". Les avocats de Zatko disent que cette affirmation est fausse.
Dans une plainte de lanceur d'alerte rendue publique mardi, Zatko a documenté ce qu'il a décrit comme ses efforts de 14 mois pour renforcer la sécurité de Twitter, renforcer la fiabilité de son service, repousser les intrusions d'agents de gouvernements étrangers et à la fois mesurer et prendre des mesures contre les faux "bot". comptes qui ont spammé la plateforme.
De nombreuses affirmations de Zatko n'ont pas été corroborées et la plainte n'a pas fourni de preuves documentaires. Dans un communiqué, Twitter a qualifié la description des événements de Zatko de "faux récit".
Voici cinq points à retenir de cette plainte de lanceur d'alerte.
LES SYSTÈMES DE SÉCURITÉ ET DE CONFIDENTIALITÉ DE TWITTER ÉTAIENT TRÈS INADÉQUATS
En 2011, Twitter a réglé une enquête de la Federal Trade Commission sur ses pratiques de confidentialité en acceptant de mettre en place des protections de sécurité des données plus solides. La plainte de Zatko accuse plutôt les problèmes de Twitter de s'aggraver avec le temps.
Par exemple, la plainte indique que les systèmes internes de Twitter ont permis à beaucoup trop d'employés d'accéder à des données personnelles d'utilisateurs dont ils n'avaient pas besoin pour leur travail, une situation propice aux abus. Pendant des années, Twitter a également continué à exploiter les données des utilisateurs telles que les numéros de téléphone et les adresses e-mail, destinées uniquement à des fins de sécurité, pour le ciblage publicitaire et les campagnes marketing, selon la plainte.
L'ENSEMBLE DU SERVICE DE TWITTER POURRAIT S'EFFONDRER IRRÉPARABLEMENT SOUS LE STRESS
L'une des révélations les plus frappantes de la plainte de Zatko est l'affirmation selon laquelle les systèmes de données internes de Twitter étaient si délabrés (et les plans d'urgence de l'entreprise si insuffisants) qu'un crash généralisé ou un arrêt imprévu aurait pu paralyser l'ensemble de la plate-forme.
La crainte était qu'une défaillance "en cascade" du centre de données ne se propage rapidement dans les fragiles systèmes d'information de Twitter. Comme le dit la plainte :« Cela signifiait que si tous les centres se déconnectaient simultanément, même brièvement, Twitter n'était pas sûr de pouvoir rétablir le service. ."
TWITTER A TROMPÉ LES RÉGULATEURS, LES INVESTISSEURS ET MUSK À PROPOS DE FAUX BOTS "SPAM"
Essentiellement, la plainte de Zatko indique que le PDG de Tesla, Elon Musk - dont l'offre de 44 milliards de dollars pour acquérir Twitter se dirige vers un procès en octobre devant un tribunal du Delaware - a raison lorsqu'il accuse les dirigeants de Twitter d'être peu incités à mesurer avec précision la prévalence des faux comptes sur le système.
La plainte accuse la direction exécutive de l'entreprise d'avoir pratiqué une "ignorance délibérée" au sujet de ces soi-disant spambots. "La haute direction n'avait aucune envie de mesurer correctement la prévalence des comptes de bots", indique la plainte, ajoutant que les dirigeants craignaient que des mesures précises des bots ne nuisent à "l'image et la valorisation" de Twitter
LE JAN. 6 2021, TWITTER AURAIT PU ÊTRE À LA MERCI D'EMPLOYÉS MÉGRÉS
La plainte de Zatko indique qu'en tant que foule rassemblée devant le Capitole américain le 6 janvier 2021, prenant finalement d'assaut le bâtiment, il a commencé à craindre que des employés sympathiques aux émeutiers ne tentent de saboter Twitter. That concern spiked when he learned it was "impossible" to protect the platform's core systems from a hypothetical rogue or disgruntled engineer aiming to wreak havoc.
"There were no logs, nobody knew where data lived or whether it was critical, and all engineers had some form of critical access" to Twitter's core functions, the complaint states.
A PLAYGROUND FOR FOREIGN GOVERNMENTS
The Zatko complaint also highlights Twitter's difficulty in identifying—much less resisting—the presence of foreign agents on its service. In one instance, the complaint alleges, the Indian government required Twitter to hire specific individuals alleged to be spies, and who would have had significant access to sensitive data thanks to Twitter's own lax security controls. The complaint also alleges a murkier situation involving taking money from unidentified "Chinese entities" that then could access data that might endanger Twitter users in China.
© 2022 L'Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation. Whistleblower accuses Twitter of cybersecurity negligence