L’ancien responsable de la sécurité de Twitter, Peiter “Mudge” Zatko, a accusé son ancien employeur de négligence en matière de cybersécurité dans une plainte explosive de lanceur d’alerte obtenue pour la première fois par CNN et le Washington Post.
Zatko, un pirate bien connu, a été recruté par Twitter pour diriger la division de sécurité de l’entreprise fin 2020, des mois après qu’une brèche très publique a vu des pirates pirater les comptes Twitter de certaines des personnes les plus célèbres au monde, dont Joe Biden et Elon. Musc. Il a été licencié de l’entreprise moins de deux ans plus tard.
Bien que son passage sur Twitter ait été bref, Zatko dit avoir été témoin de « déficiences flagrantes, de négligence, d’ignorance délibérée et de menaces à la sécurité nationale et à la démocratie », selon sa plainte de lanceur d’alerte datée du 6 juillet, qui a été déposée auprès de la Securities and Exchange Commission des États-Unis ( SEC), la Federal Trade Commission (FTC) et le ministère de la Justice. Il a déclaré au Washington Post que sa dénonciation publique intervient après que ses tentatives de signaler les failles de sécurité auprès du conseil d’administration de Twitter ont été ignorées.
Zatko allègue dans la plainte, examinée par TechCrunch, que Twitter manquait de contrôles de sécurité de base. Il a déclaré que des milliers d’ordinateurs portables d’employés contenaient des copies complètes du code source de Twitter et qu’environ un tiers de ces appareils bloquaient les correctifs de sécurité automatiques, avaient désactivé les pare-feu du système et avaient activé l’accès au bureau à distance à des fins non approuvées. Zatko a également accusé l’entreprise de ne pas surveiller activement ce que les employés faisaient sur leurs ordinateurs. En conséquence, “il a été constaté à plusieurs reprises que des employés installaient intentionnellement des logiciels espions sur leurs ordinateurs de travail à la demande d’organisations externes”, indique la plainte.
Zatko allègue également qu’environ 5 000 employés à temps plein avaient un large accès au logiciel interne de l’entreprise et que cet accès n’était pas étroitement surveillé, ce qui leur donnait la possibilité d’accéder à des données sensibles et de modifier le fonctionnement du service.
Pendant son séjour dans l’entreprise, Zatko a déclaré avoir rencontré un certain nombre de vulnérabilités “en attente d’être découvertes”. Il dit avoir découvert que la moitié des 500 000 serveurs du centre de données de l’entreprise s’exécutent sur des logiciels obsolètes qui ne prennent pas en charge les fonctionnalités de sécurité de base, telles que le cryptage des données stockées, ou ne reçoivent plus de mises à jour de sécurité régulières de leurs fournisseurs. Cela signifiait que Twitter souffrait d’un “taux anormalement élevé” d’incidents de sécurité, a déclaré Zatko, et “craignait raisonnablement que Twitter ne subisse un piratage au niveau d’Equifax”, faisant référence à la violation de l’agence de crédit de 2017 qui a entraîné le vol de près de 150 millions Informations personnelles des Américains.
La plainte allègue que la société a eu environ un incident de sécurité chaque semaine suffisamment grave pour que Twitter soit tenu de le signaler aux agences gouvernementales.
“En 2020 seulement, Twitter a connu plus de 40 incidents de sécurité, dont 70% étaient liés au contrôle d’accès”, indique la plainte. « Ceux-ci comprenaient 20 incidents définis comme des violations ; tous sauf deux étaient liés au contrôle d’accès.
Au-delà des allégations de graves défaillances en matière de cybersécurité, Zatko allègue également que le gouvernement indien a forcé Twitter à embaucher l’un de ses agents et que l’entreprise a violé à plusieurs reprises les termes d’un accord de 2011 avec la FTC. La plainte allègue que Twitter ne supprime pas de manière fiable les données des utilisateurs – y compris les messages directs – après l’annulation de leurs comptes, dans certains cas parce que l’entreprise a perdu la trace des informations et qu’elle a induit les régulateurs en erreur quant à savoir si elle supprime les données telles qu’elles sont. tenu de faire.
La plainte a également des implications potentielles pour la bataille juridique de Twitter avec Musk, qui tente de se retirer d’un contrat de 44 milliards de dollars pour acheter la plate-forme de médias sociaux. Zatko dit que les dirigeants de Twitter n’ont pas les ressources nécessaires pour comprendre pleinement le nombre réel de bots sur la plate-forme et n’étaient pas motivés pour le faire.
La porte-parole de Twitter, Madeline Broas, a déclaré à TechCrunch dans une déclaration passe-partout : « M. Zatko a été licencié de son poste de cadre supérieur chez Twitter en janvier 2022 pour leadership inefficace et mauvaises performances. Ce que nous avons vu jusqu’à présent est un faux récit sur Twitter et nos pratiques en matière de confidentialité et de sécurité des données qui est truffé d’incohérences et d’inexactitudes et manque de contexte important. Les allégations et le timing opportuniste de M. Zatko semblent conçus pour attirer l’attention et nuire à Twitter, à ses clients et à ses actionnaires. La sécurité et la confidentialité sont depuis longtemps des priorités à l’échelle de l’entreprise chez Twitter et continueront de l’être.