Peiter Zatko, l'ancien chef de la sécurité informatique de Twitter, vient de dénoncer auprès de plusieurs médias américains les pratiques peu scrupuleuses du réseau social en matière de sécurité. Il assure également que l'entreprise a bel et bien menti sur le nombre de bots présents sur la plateforme. Des allégations explosives qui pourraient bien avoir un impact dans le procès entre Elon Musk et Twitter.

Après les révélations prodiguées par cette lanceuse d'alerte sur les pratiques de Facebook, c'est au tour d'un ancien cadre de la Tech de révéler les travers d'un autre réseau social : Twitter. Peiter Zatko, ancien responsable de la sécurité informatique de la plateforme, vient de dénoncer en détail les pratiques douteuses de l'entreprise dans un rapport de 200 pages fourni à CNN et au Washington Post.

Cet ancien hackeur, dont la réputation est légendaire dans le milieu, pointe du doigt plusieurs dizaines de fraudes commises durant ces dernières années. Parmi les faits les plus graves, il affirme notamment que Twitter a violé un accord passé avec la Federal Trade Commission, relatif au respect de certaines normes de sécurité sur la plateforme. Il a d'ailleurs déposé plainte auprès de cette institution pour ces mêmes motifs.

Cet engagement, pris en 2011, concernait principalement la sécurité offerte par Twitter à ses utilisateurs. Or et selon le rapport du lanceur d'alerte, la moitié des serveurs de l'entreprise fonctionnent encore avec des logiciels obsolètes et sont donc particulièrement vulnérables aux attaques informatiques.

Zatko a rejoint Twitter sur demande de Jack Dorsey

Dans une interview donnée à CNN, M. Zatko raconte avoir rejoint Twitter en 2020 sur demande de Jack Dorsey, toujours PDG du réseau social à l'époque. Le créateur de l'oiseau bleu souhaitait l'expertise de Peiter Zatko pour renforcer les systèmes de sécurité. Souvenez-vous, Twitter avait été frappé par une cyberattaque massive, qui avait abouti au détournement de comptes appartenant à des personnalités importantes et célèbres, comme celui de Barack Obama, Bill Gates ou encore Kanye West.

Après avoir passé deux ans à tenter de corriger les nombreuses failles de sécurité repérées sur les systèmes de Twitter, il a été limogé en janvier 2022 par le nouveau directoire mené par Parag Agrawal. Selon Peiter Zatko, il a été mis à la porte pour avoir refusé de garder le silence sur les vulnérabilités et les pratiques douteuses en termes de sécurité de la compagnie.

L'ancien pirate justifie sa prise de parole en assurant qu'il a encore un devoir “envers Jack et les utilisateurs de la plateforme”. Je veux terminer le travail pour lequel Jack m'a engagé, à savoir améliorer la plateforme”. 

A lire également : Twitter – les données personnelles de 5,4 millions d’utilisateurs sont en vente pour 30 000 dollars

Le rapport confirme les mensonges de Twitter à Elon Musk

Le rapport abrite une autre bombe à retardement. En effet, Peiter Zatko confirme que Twitter a bel et bien menti à Elon Musk sur le nombre de faux comptes actifs. Dans un tweet publié le 16 mai, Parag Agrawal avait assuré que ces bots représentaient moins de 5% des 450 millions d'utilisateurs actifs mensuels. “Ce tweet était un mensonge. En vérité, Agrawal sait très bien que les dirigeants de Twitter n'ont aucun intérêt à détecter ou signaler avec précision les robots spammeurs”, dénonce-t-il.

Pire encore, il précise que les dirigeants sont incités (via des primes annuelles pouvant atteindre les 10 millions de dollars) à augmenter continuellement le nombre d'utilisateurs plutôt qu'à supprimer les robots.

Comme vous pouvez vous en douter, ces allégations pourraient avoir un impact conséquent sur le procès à venir en octobre 2022 entre Twitter et Elon Musk. Les deux entités sont aux prises dans un bras de fer judiciaire après le retrait du patron de Tesla dans un accord de rachat de Twitter d'un montant de 44 milliards de dollars. Et alors que Jack Dorsey a été ajouté à la liste des témoins appelés à la barre ce mardi 23 août 2022, les avocats d'Elon Musk ont d'ores et déjà “émis une assignation à comparaître à M. Zatko”. 

Les représentants du milliardaire ajoutent qu'ils ont trouvé “la sortie de M. Zatko et celles d'autres employés curieuses à la lumière de ce que nous avons découvert”. Une référence directe aux doutes manifestés par Elon Musk sur la quantité de faux comptes présents sur Twitter.

Des accusations diverses et inquiétantes

Bien entendu, les divulgations de M. Zakto à la SEC (Securities and Exchange Commission) contiennent d'autres accusations :

• Accès sans discernement : une partie importante de la vulnérabilité des systèmes de Twitter est due à un nombre trop élevé d'employés qui ont accès aux systèmes les plus critiques. Zakto affirme que la moitié des 7000 employés peuvent consulter les données personnelles des utilisateurs et accéder aux logiciels internes utilisés pour modifier le fonctionnement de Twitter
• L'accès aux données personnelles des utilisateurs par des agents gouvernementaux, notamment en Inde
• Défaut de suppression de données : Twitter n'a pas supprimé par le passé les données d'utilisateurs, malgré les demandes effectuées. La raison ? Ces données sont trop dispersées dans les systèmes internes pour être retrouvées

La réponse de Twitter à ces révélations ne s'est pas faite attendre. Le réseau social accuse Peiter Zatko de verser dans le sensationnalisme et de présenter les faits de manière sélective : “M. Zatko a été licencié de son rôle de cadre supérieur chez Twitter pour ses mauvaises performances et son leadership inefficace il y a plus de six mois. Bien que nous n'ayons pas eu accès aux allégations spécifiques auxquelles il fait référence, ce que nous avons vu jusqu'à présent est un récit sur nos pratiques en matière de confidentialité et de sécurité des données qui est truffé d'incohérences et d'inexactitudes, et qui manque de contexte important”, conclut Twitter.

Source : Washington Post