Twitter est un véritable désastre en matière de cybersécurité : les employés ont accès au code source et le vendent au plus offrant, les Data Centers tournent sur un vieux logiciel, et le gouvernement indien a forcé l’entreprise à recruter l’un de ses agents. C’est du moins ce qu’affirme l’ancien directeur de la sécurité, le hacker Peiter « Mudge » Zatko, dans une plainte explosive.
L’ancien directeur de la cybersécurité de Twitter, Peiter « Mudge » Zatko, vient de porter plainte contre son ancien employeur. Dans le document explosif obtenu par CNN et le Washington Post, il révèle les graves négligences de l’entreprise américaine.
À l’origine, ce hacker célèbre fut recruté par Twitter fin 2020 pour diriger la division de cybersécurité. Cette embauche faisait suite à un incident survenu durant l’été, au cours duquel les comptes de célébrités avaient été piratés.
Moins de deux ans plus tard, Peiter Zatko était renvoyé de Twitter. Pendant ce court laps de temps, le spécialiste a néanmoins été témoin « de lacunes flagrantes, de négligence, d’ignorance volontaire et de menaces pour la sécurité nationale et la démocratie ».
Dans un entretien accordé au Washington Post, le hacker explique avoir d’abord tenté de signaler les graves manquements de sécurité au conseil d’administration de Twitter. Face à l’indifférence des dirigeants, il a décidé de donner l’alerte au public.
Sa plainte a été déposée le 6 juillet 2022 auprès de la Securities and Exchange Commission (SEC), de la Federal Trade Commission (FTC) et du Justice Department des États-Unis.
Les employés vendent le code source à des tiers
Le document révèle que Twitter n’applique même pas les contrôles de sécurité les plus basiques. Les ordinateurs portables de milliers d’employés contiennent des copies complètes du code source de Twitter, et environ un tiers de ces appareils bloquent automatiquement les mises à jour de sécurité, ont un firewall désactivé et activent l’accès à distance pour des raisons non approuvées.
Outre cette anarchie complète, Zatko accuse l’entreprise de ne pas surveiller activement ce que les employés font sur leurs ordinateurs. En conséquence, « les employés ont été attrapés plusieurs fois à installer volontairement un spyware sur leur ordinateur sur demande d’organisations externes ».
Un logiciel de Data Center complètement obsolète
L’ancien directeur de la sécurité dévoile aussi que près de 5000 employés à temps plein ont un accès au logiciel interne de l’entreprise et que cet accès n’est pas surveillé. Ils sont donc en mesure d’accéder aux données sensibles et d’altérer le fonctionnement du service en toute impunité.
Pendant qu’il travaillait pour Twitter, Zatko explique aussi avoir identifié de multiples vulnérabilités « attendant d’être découvertes ». Il s’est également aperçu que la moitié des 500 000 serveurs de Data Centers de l’entreprise tournent sur un logiciel obsolète.
Ce logiciel n’offre même pas les fonctionnalités les plus élémentaires de sécurité comme le chiffrement de données. Les vendeurs ne déploient même plus de mises à jour de sécurité.
Au moins un incident de sécurité par semaine
Ainsi, Twitter a subi un « taux anormalement haut » d’incidents de sécurité. La firme a eu au moins un incident de sécurité par semaine, suffisamment sérieux pour devoir le signaler aux agences gouvernementales. Selon la plainte de Zatko, « rien qu’en 2020, Twitter a eu plus de 40 incidents dont 70% étaient liés au contrôle d’accès ».
Le hacker confie aussi avoir eu « raisonnablement peur que Twitter subisse un piratage du niveau d’Equifax ». Il fait référence à l’agence de crédit qui a laissé fuiter les données personnelles de 150 millions d’Américains en 2017.
Parallèlement aux manquements de cybersécurité, Zatko révèle que le gouvernement indien a forcé Twitter à recruter l’un des ses agents et que l’entreprise a enfreint plusieurs fois les termes d’un accord passé en 2011 avec la FTC.
Il accuse aussi Twitter de ne pas supprimer les données des utilisateurs, et notamment leurs messages directs, lorsqu’ils suppriment leurs comptes. Dans certains cas, la firme a tout simplement perdu la trace de ses informations. Elle serait allée jusqu’à mentir aux régulateurs en prétendant avoir supprimé les données conformément à la loi.
En découvrant ces graves failles de sécurité, on comprend mieux pourquoi Elon Musk est revenu sur son envie d’acheter le réseau social. D’ailleurs, la plainte de Zatko évoque aussi cet accord et affirme que les cadres de Twitter n’ont pas les ressources nécessaires pour estimer pleinement le nombre de bots sur la plateforme. Ils ne seraient d’ailleurs absolument pas motivés à le faire.
Twitter crie à la calomnie
Suite à ces révélations au grand jour, les porte-paroles de Twitter révèlent que « Mr Zatko a été renvoyé de son rôle de cadre senior en janvier 2022 à cause de son leadership inefficace et de ses piètres performances. Ce que nous avons vu jusqu’à présent est un faux récit sur Twitter et nos pratiques de confidentialité et sécurité des données truffé d’incohérences et d’imprécisions et manquant de contexte ».
Ainsi, l’entreprise estime que « les accusations de Mr Zatko et leur timing opportuniste semblent conçues pour attirer l’attention et nuire à Twitter, ses clients et ses actionnaires. La sécurité et la confidentialité sont depuis longtemps les priorités de l’entreprise et continueront de l’être »…
- Partager l'article :