Zakto allègue en outre que Twitter ne dispose pas d’environnements de développement ou de test complets pour piloter de nouvelles fonctionnalités et mises à niveau du système avant de les lancer dans le logiciel de production en direct. En conséquence, Zatko décrit une situation où les ingénieurs travailleraient aux côtés de systèmes en direct et “testeraient directement sur le service commercial, entraînant des interruptions de service régulières”. Et les documents allèguent que la moitié des employés de Twitter avaient un accès privilégié aux systèmes de production en direct et aux données des utilisateurs sans surveillance pour pouvoir détecter toute action malveillante ou tracer une activité indésirable. La plainte de Zatko décrit Twitter comme ayant environ 11 000 employés. Twitter dit qu’il compte actuellement environ 7 000 employés.
Les plaintes affirment que ces mauvaises pratiques de sécurité expliquent les antécédents de Twitter en matière d’incidents de sécurité, de violations de données et de prises de contrôle dangereuses de comptes d’utilisateurs.
“Nous examinons les affirmations expurgées qui ont été publiées”, a écrit le PDG de Twitter, Parag Agrawal, dans un message au personnel de Twitter ce matin. “Nous poursuivrons tous les chemins pour défendre notre intégrité en tant qu’entreprise et remettre les pendules à l’heure.”
Twitter indique que tous les ordinateurs des employés sont gérés de manière centralisée et que son service informatique peut forcer les mises à jour ou imposer des restrictions d’accès si les mises à jour ne sont pas installées. La société a également déclaré qu’avant qu’un ordinateur puisse se connecter aux systèmes de production, il doit passer une vérification pour s’assurer que son logiciel est à jour, et que seuls les employés avec une « justification commerciale » peuvent accéder à l’environnement de production à des « fins spécifiques ». ”
Al Sutton, cofondateur et directeur de la technologie de Snapp Automotive, était un ingénieur logiciel du personnel de Twitter d’août 2020 à février 2021. Il a noté dans un tweet mardi que Twitter ne l’avait jamais retiré du groupe d’employés GitHub qui peut soumettre des modifications logicielles pour coder le société gère sur la plate-forme de développement. Sutton a eu accès à des référentiels privés pendant 18 mois après avoir été licencié de l’entreprise, et il a publié des preuves que Twitter utilise GitHub non seulement pour le travail public et open source, mais également pour des projets internes. Dans les trois heures environ suivant la publication de l’accès, Sutton a signalé qu’il avait été révoqué.
“Je pense que Twitter est assez désinvolte à propos des affirmations de Mudge, alors j’ai pensé qu’un exemple vérifiable pourrait être utile pour les gens”, a-t-il déclaré à WIRED. Lorsqu’on lui a demandé si les accusations de Zatko correspondaient à sa propre expérience de travail sur Twitter, Sutton a ajouté: “Je pense que la meilleure chose à dire ici est que je n’ai aucune raison de douter de ses affirmations.”
Les ingénieurs et chercheurs en sécurité soulignent que s’il existe différentes façons d’aborder la sécurité de l’environnement de production, il existe un problème conceptuel si les employés ont un large accès aux données utilisateur et au code déployé sans journalisation étendue. Certaines organisations adoptent l’approche consistant à limiter considérablement l’accès, tandis que d’autres utilisent une combinaison d’accès plus large et de surveillance constante, mais l’une ou l’autre option doit être un choix conscient dans lequel une entreprise investit massivement. Après que le gouvernement chinois a violé Google en 2010, par exemple, le la société a tout misé sur la première approche.
“Il n’est pas vraiment inhabituel pour les entreprises d’avoir des politiques relativement libérales concernant l’accès des ingénieurs aux systèmes de production, mais lorsqu’elles le font, elles sont très, très strictes quant à la journalisation de tout ce qui se fait”, déclare Perry Metzger, associé directeur du cabinet de conseil Metzger, Dowdeswell & Company. « Mudge a une excellente réputation, mais disons qu’il était complètement incompétent. La chose la plus simple pour eux serait de fournir des détails techniques sur les systèmes de journalisation qu’ils utilisent pour l’accès des ingénieurs aux systèmes de production. Mais ce que Mudge dépeint, c’est une culture où les gens préfèrent dissimuler les choses plutôt que de les réparer, et c’est ce qui est troublant.
Zatko et Whistleblower Aid, le groupe juridique à but non lucratif qui le représente, affirment qu’ils s’en tiennent aux documents publiés mardi. “Twitter a une influence démesurée sur la vie de centaines de millions de personnes dans le monde, et il a des obligations fondamentales envers ses utilisateurs et le gouvernement de fournir une plate-forme sûre et sécurisée”, a déclaré Libby Liu, PDG de Whistleblower Aid, dans un communiqué.
Pour l’instant, cependant, les allégations soulèvent une foule de préoccupations sérieuses qui semblent peu susceptibles d’être rapidement expliquées ou résolues de manière globale.
