L’ancien chef de la sécurité de Twitter, Peiter “Mudge” Zatko, comparaîtra devant les législateurs à Washington mardi. On s’attend à ce qu’il donne des preuves accablantes des failles de sécurité des données et des informations sur la plate-forme de médias sociaux, après avoir souligné une litanie de préoccupations dans une plainte de lanceur d’alerte le mois dernier.
L’ancien pirate informatique, largement respecté dans son domaine en tant que spécialiste de la sécurité de l’information, a rejoint Twitter le 16 novembre 2020 et a été licencié le 19 janvier 2022. Sa plainte porte sur des allégations d’incompétence et de fraude sur Twitter, affirmant qu’il a découvert “des lacunes extrêmes et flagrantes par Twitter dans tous les domaines de son mandat », y compris la faiblesse des contrôles de l’accès des employés aux données des utilisateurs et l’ingérence des gouvernements étrangers.
L’audience du comité judiciaire du Sénat n’est pas directement à l’avantage d’Elon Musk, qui tente de se retirer d’un accord de 44 milliards de dollars (38 milliards de livres sterling) pour acheter Twitter et a été autorisé à inclure les révélations de Zatko comme une autre raison de s’éloigner. Les avocats de Musk ont interrogé Zatko le 9 septembre. Mais si les actions de Zatko vont avoir un impact immédiat, ce sera lors d’un procès dans le Delaware le 17 octobre, où Twitter tente de forcer Musk à acheter la société selon les conditions qu’il a convenues en avril.
Voici quelques questions auxquelles Zatko pourrait être confronté mardi.
Quelle est l’ampleur des problèmes de sécurité de l’information sur Twitter ?
Il s’agit d’une question fourre-tout qui est susceptible d’être décomposée en plusieurs parties en termes de questions du législateur, compte tenu de la quantité de détails dans les allégations contenues dans la plainte de Zatko.
Il est susceptible d’être interrogé sur plusieurs allégations, notamment que Twitter a mal géré les adresses e-mail et les numéros de téléphone des utilisateurs, que plus de 50 % de ses 500 000 serveurs de centres de données exécutent des logiciels obsolètes ou présentent d’autres problèmes de sécurité connus, et que les employés ont installé des logiciels espions sur leurs ordinateurs de travail à la demande d’organisations externes.
Quelle est l’importance de l’intervention d’un État étranger sur Twitter ?
La plainte de Zatko indique qu’il était au courant de “plusieurs épisodes” de pénétration de Twitter par des agences de renseignement étrangères ou d’être complice de menaces contre les démocraties. Les exemples utilisés étaient que le gouvernement indien a forcé Twitter à embaucher des agents gouvernementaux qui avaient accès aux données des utilisateurs et que les dirigeants ont permis à la plate-forme de devenir dépendante des revenus provenant d ‘«entités» chinoises qui pourraient alors être en mesure d’accéder aux informations sur les utilisateurs en Chine qui avaient contourné un bloc. La plainte ajoute que Twitter a reçu “des informations spécifiques d’une source gouvernementale américaine selon lesquelles un ou plusieurs employés de l’entreprise travaillaient pour le compte d’une autre agence de renseignement étrangère particulière”.
Les législateurs voudront savoir si la production de la plateforme, qui joue un rôle très influent dans la politique et les médias dans plusieurs pays, pourrait être manipulée en conséquence.
Quelle est l’importance du problème de bot de Twitter ?
Dans une section de la plainte intitulée “mentir à propos des bots à Elon Musk”, Zatko soulève des questions sur l’approche de Twitter sur les bots, arguant essentiellement que l’entreprise ne maîtrise pas le problème. Les législateurs devraient demander à Zatko quelle est la véritable ampleur du problème et comment il doit être abordé.
Musk a cité la prévalence des comptes de robots sur Twitter – qui ne sont pas gérés par des humains et sont conçus pour perturber et manipuler l’expérience des utilisateurs – comme une raison clé pour déclarer son retrait de la prise de contrôle.
Dans sa plainte, Zatko dit que Parag Agrawal, le directeur général de Twitter, a menti lorsqu’il a tweeté que les dirigeants de Twitter étaient “incités à détecter et à supprimer autant de spam que possible”.
Le directeur général de Tesla affirme que Twitter a délibérément mal compté le nombre de bots sur la plateforme. L’entreprise a toujours déclaré que le nombre de bots sur ses plates-formes représentait moins de 5 % de ses utilisateurs actifs quotidiens monétisables (mDAU – comptes qui peuvent voir des publicités et qui ont donc une valeur commerciale pour l’entreprise).
Zatko dit qu’il existe plusieurs millions de comptes actifs qui ne sont pas considérés comme mDAU mais font partie de l’expérience de l’utilisateur moyen sur la plate-forme, ce qui en fait une expérience de mauvaise qualité. Cela ne correspond pas tout à fait à l’argument de Musk, à savoir que Twitter sous-estime délibérément le nombre de bots parmi ses mDAU. Zatko dit qu’il ne les inclut pas dans son total de mDAU, mais qu’il ne s’en débarrasse pas entièrement.
Néanmoins, le dossier de Zatko affirme que la direction n’avait aucune envie de mesurer correctement les comptes de robots parce qu’elle craignait que “si des mesures précises devenaient publiques, cela nuirait à l’image et à la valorisation de l’entreprise”. Cela pourrait au moins être important pour un procès d’actionnaire et, dans l’ensemble, Zatko affirme avec véhémence que Twitter ne peut pas faire face aux bots car il utilise des programmes “obsolètes” et des équipes de surveillance “en sous-effectif”.
Dans quelle mesure êtes-vous crédible en tant que témoin ?
Twitter a riposté aux allégations de Zatko, affirmant qu’il avait été licencié par Agrawal pour « leadership inefficace et mauvaise performance ». Se référant à ses affirmations, la société a ajouté: «Ce que nous avons vu jusqu’à présent est un faux récit sur Twitter et nos pratiques de confidentialité et de sécurité des données qui est truffé d’incohérences et d’inexactitudes et manque de contexte important. Les allégations et le timing opportuniste de M. Zatko semblent conçus pour attirer l’attention et nuire à Twitter, à ses clients et à ses actionnaires. La sécurité et la confidentialité sont depuis longtemps des priorités à l’échelle de l’entreprise chez Twitter et continueront de l’être.
Néanmoins, Zatko a un pedigree considérable, s’étant fait un nom en tant que hacker éthique qui a aidé les organisations à identifier les failles de leurs systèmes avant d’occuper des postes de direction chez Google, la société de paiement Stripe et le département américain de la Défense. Ce long parcours et sa réputation de rigueur professionnelle ont conduit le directeur général de Twitter de l’époque, Jack Dorsey, à l’embaucher.
Y a-t-il un problème de direction chez Twitter ?
La plainte de Zatko est cinglante au sujet des normes de gestion de l’entreprise. Les allégations de Zatko contre Agrawal incluent le directeur général lui ayant demandé en décembre 2021 de fournir des documents sur la sécurité de l’information au comité des risques du conseil d’administration de Twitter qu’Agrawal savait être « faux et trompeurs ». La plainte indique que les problèmes de sécurité de Twitter s’étaient « développés sous la surveillance d’Agrawal ». La plainte soulève des inquiétudes quant au niveau de leadership en général, pointant vers un Dorsey «extrêmement désengagé» – qui a démissionné l’année dernière – qui a parlé au total de 50 mots à Zatko lors de conversations téléphoniques sur une période de 12 mois.
Twitter a-t-il trompé les investisseurs ?
La plainte de Zatko dit : “Pendant des années, à travers de nombreuses déclarations publiques et dépôts auprès de la SEC, Twitter a fait des fausses déclarations et des omissions importantes, et s’est engagé dans des actes et des pratiques opérant comme une tromperie envers ses utilisateurs et ses actionnaires, en ce qui concerne la sécurité, la confidentialité et l’intégrité.” Twitter le conteste. En ce qui concerne l’impact de la plainte sur la prise de contrôle de Musk, Brian Quinn, professeur à la Boston College Law School, déclare : « Twitter répondra probablement que même s’ils n’ont pas révélé qu’un employé mécontent s’était plaint de leur sécurité, ils ont révélé que les problèmes de sécurité et de confidentialité des données constituaient des risques pour l’entreprise.
