L'ancien responsable de la sécurité de Twitter a allégué que la société avait induit les régulateurs en erreur au sujet de ses faibles défenses en matière de cybersécurité et de sa négligence dans sa tentative d'éradiquer les faux comptes qui propagent la désinformation, selon une plainte de lanceur d'alerte déposée auprès de responsables américains.

La révélation pourrait créer de graves problèmes juridiques et financiers pour la plate-forme de médias sociaux, qui tente actuellement de forcer le PDG de Tesla, Elon Musk, à réaliser son offre de 44 milliards de dollars pour acheter la société. Plusieurs membres du Congrès ont appelé mardi les régulateurs à enquêter sur ces allégations.

Peiter Zatko, qui a occupé le poste de chef de la sécurité de Twitter jusqu'à son licenciement au début de cette année, a déposé les plaintes le mois dernier auprès de la Securities and Exchange Commission des États-Unis, de la Federal Trade Commission et du ministère de la Justice. L'organisation à but non lucratif Whistleblower Aid, qui travaille avec Zatko, a confirmé l'authenticité d'une copie expurgée de la plainte publiée en ligne par le Washington Post.

"C'était un dernier recours pour lui", a déclaré John Tye, co-fondateur et directeur de la divulgation du groupe, dans une interview mardi. Il a déclaré que Zatko avait épuisé toutes les tentatives pour résoudre ses problèmes au sein de l'entreprise avant son licenciement en janvier.

L'une des accusations les plus graves de Zatko est que Twitter a violé les termes d'un règlement FTC de 2011 en affirmant à tort qu'il avait mis en place des mesures plus strictes pour protéger la sécurité et la confidentialité de ses utilisateurs. Zatko accuse également l'entreprise de tromperies impliquant sa gestion de "spam" ou de faux comptes, une allégation qui est au cœur de la tentative de Musk de se retirer de la prise de contrôle de Twitter.

Les actions de Twitter Inc. ont clôturé de plus de 7 % mardi.

Mieux connu sous son nom de hacker "Mudge", Zatko est un expert en cybersécurité très respecté qui s'est fait connaître pour la première fois dans les années 1990 et a ensuite occupé des postes de direction à la Defense Advanced Research Agency du Pentagone et à Google.

Il a rejoint Twitter à la demande du PDG de l'époque, Jack Dorsey, fin 2020, la même année où l'entreprise a subi une faille de sécurité embarrassante impliquant des pirates informatiques qui ont pénétré par effraction dans les comptes Twitter de dirigeants mondiaux, de célébrités et de magnats de la technologie, dont Musk, dans une tentative de arnaquer leurs abonnés en bitcoin.

Twitter a déclaré mardi dans un communiqué préparé que Zatko avait été licencié pour "leadership inefficace et mauvaise performance" et a déclaré que "les allégations et le timing opportuniste semblent conçus pour attirer l'attention et nuire à Twitter, à ses clients et à ses actionnaires". L'entreprise a qualifié sa plainte de "faux récit" qui est "trompé d'incohérences et d'inexactitudes et qui manque de contexte important".

Les avocats de Zatko, Debra Katz et Alexis Ronickher, ont déclaré que l'affirmation de Twitter au sujet de ses mauvaises performances était fausse et qu'il avait soulevé à plusieurs reprises des inquiétudes concernant "des systèmes de sécurité de l'information manifestement inadéquats" auprès des hauts dirigeants et du conseil d'administration de Twitter. Les avocats ont déclaré qu'à la fin de 2021, après que le conseil d'administration ait reçu des informations "blanchies" sur ces problèmes de sécurité, Zatko a intensifié ses inquiétudes, "s'est heurté" au PDG Parag Agrawal et au membre du conseil d'administration Omid Kordestani et a été licencié deux semaines plus tard.

La plainte de 84 pages décrit une culture d'entreprise brisée chez Twitter qui manquait de leadership efficace et où Zatko a déclaré que les hauts dirigeants pratiquaient "l'ignorance délibérée" des problèmes urgents. Sa description du style de leadership de Dorsey est particulièrement cinglante; il a décrit le fondateur de Twitter comme "extrêmement désengagé" au cours des derniers mois de son mandat de PDG au point qu'il ne parlerait même pas lors des réunions sur les problèmes complexes auxquels l'entreprise était confrontée.

Zatko a déclaré avoir entendu des collègues dire que Dorsey resterait silencieux pendant "des jours ou des semaines". Dorsey a annoncé qu'il quittait son poste de PDG de Twitter en novembre 2021.

La divulgation indique que Twitter n'a offert aucune incitation monétaire pour améliorer la sécurité et l'intégrité de la plate-forme, bien que la société ait offert l'année dernière des bonus de 10 millions de dollars aux cadres supérieurs qui pourraient générer une croissance des utilisateurs à court terme.

Parmi les accusations de faute professionnelle de Zatko en matière de cybersécurité :les mises à jour logicielles et de sécurité ont été désactivées sur plus d'un tiers des ordinateurs des employés, les exposant indûment à des logiciels malveillants, et il était courant que les gens installent « tous les logiciels qu'ils voulaient sur leurs systèmes de travail ». De tels manquements sont généralement considérés comme des péchés capitaux en matière de cybersécurité.

Whistleblower Aid a déclaré qu'il était légalement interdit de partager la déclaration de Zatko. Le même groupe a travaillé avec l'ancienne employée de Facebook Frances Haugen, qui a témoigné au Congrès l'année dernière après avoir divulgué des documents internes et accusé le géant des médias sociaux de choisir le profit plutôt que la sécurité.

"Je ne dirais pas qu'il est content de devoir devenir dénonciateur, mais il est résolu dans sa décision", a déclaré Tye. "Et engagé à aller au fond des choses."

Une porte-parole du comité du renseignement du Sénat américain, Rachel Cohen, a déclaré que le comité avait reçu la plainte de Zatko et s'efforçait d'organiser une réunion "pour discuter des allégations plus en détail. Nous prenons cette affaire au sérieux."

Le sénateur Dick Durbin, un démocrate de l'Illinois, a déclaré dans une déclaration préparée que si les affirmations sont exactes, "elles peuvent montrer des risques dangereux pour la confidentialité et la sécurité des données pour les utilisateurs de Twitter dans le monde".

Parmi les plaintes les plus alarmantes figure l'allégation de Zatko selon laquelle Twitter aurait sciemment autorisé le gouvernement indien à placer ses agents sur la liste de paie de l'entreprise où ils avaient "un accès direct et non supervisé aux systèmes et aux données des utilisateurs de l'entreprise".

Une plainte de la FTC en 2011 a noté que les systèmes de Twitter étaient pleins de données hautement sensibles qui pourraient permettre à un gouvernement hostile de trouver des données de localisation précises pour des utilisateurs spécifiques et de les cibler pour violence ou arrestation. Plus tôt ce mois-ci, un ancien employé de Twitter a été reconnu coupable après un procès en Californie d'avoir transmis des données sensibles d'utilisateurs de Twitter à des membres de la famille royale en Arabie saoudite en échange de pots-de-vin.

La plainte a déclaré que Twitter dépendait également fortement du financement d'entités chinoises et que Twitter craignait que la société ne fournisse des informations à ces entités qui leur permettraient d'apprendre l'identité et les informations sensibles des utilisateurs chinois qui utilisent secrètement Twitter, qui est officiellement interdit en Chine.

Zatko décrit également l'ignorance délibérée des dirigeants de Twitter sur le comptage des millions de comptes qui sont des "bots de spam" automatisés ou qui n'ont aucune valeur pour les annonceurs car il n'y a personne derrière eux. Zatko a cité un rapport extérieur "accablant" de 2021 qui a révélé que les outils de Twitter pour lutter contre les bots n'étaient ni suffisamment automatisés ni sophistiqués et reposaient plutôt sur des humains "pas suffisamment dotés en personnel ou en ressources, pour résoudre le problème de désinformation et de désinformation".

Alex Spiro, un avocat représentant Musk dans ses efforts pour se retirer de son accord d'acquisition de Twitter, a déclaré que les avocats avaient émis une assignation à comparaître pour Zatko. "Nous avons trouvé sa sortie et celle d'autres employés clés curieux à la lumière de ce que nous avons trouvé", a écrit Spiro dans un e-mail mardi. Spiro a déclaré que Zatko et Musk n'avaient été en contact à aucun moment cette année.

Tye a dit "il n'a jamais rencontré Elon Musk. Ne connaît pas Elon Musk. Ils connaissent des gens en commun." Lorsqu'on lui a demandé si des amis communs auraient pu partager des informations sur les problèmes de bot de Twitter avec Musk, Tye a déclaré que Zatko "n'a communiqué avec aucune autre partie au sujet de ses révélations" depuis le dépôt des plaintes en juillet. + Explorer plus loin

Musk dit que l'accord sur Twitter pourrait aller de l'avant avec des informations sur les "bots"

© 2022 L'Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.