Twitter : un lanceur d’alerte affirme que Musk avait raison au sujet des bots
La FTC examine le rapport.
La pression exercée sur Twitter pour qu’il parle publiquement de la manière dont il surveille et supprime les comptes de spam ne cesse de croître. Des rapports de CNN et du Washington Post révèlent une plainte de 84 pages déposée par un ancien responsable de la sécurité de Twitter qui affirme que les dirigeants ont caché les risques de sécurité aux régulateurs. Selon lui, Twitter n’est pas motivé pour suivre le nombre réel de comptes de spam et a caché des failles de sécurité aux régulateurs fédéraux.
L’ancien responsable de la sécurité de Twitter, Peiter Zatko connu sous le nom de “Mudge”, a accusé Twitter et son conseil d’administration d’avoir violé les règles financières, d’avoir commis des fraudes et d’avoir grossièrement négligé ses obligations en matière de sécurité, dans une plainte déposée le mois dernier auprès de la Securities & Exchange Commission, de la Federal Trade Commission et du ministère américain de la justice. ll affirme également avoir été licencié pour avoir poussé des dirigeants de Twitter peu enclins à s’attaquer à des problèmes de sécurité majeurs – qui, selon sa plainte, « constituent une menace » pour les informations personnelles des utilisateurs de Twitter, pour les actionnaires de l’entreprise, pour la sécurité nationale et pour la démocratie.
Zatko allègue que les cadres de Twitter étaient plus investis dans la dissimulation de ces vulnérabilités, y compris la sélection et la présentation erronée des données sur les comptes de spam et les menaces de sécurité aux régulateurs et aux membres du conseil d’administration de Twitter. « Selon la plainte, les cadres supérieurs pouvaient gagner des primes individuelles allant jusqu’à 10 millions de dollars liées à l’augmentation du nombre d’utilisateurs quotidiens, et rien d’explicite pour la réduction du spam » rapporte le Post. Selon CNN, ces risques de sécurité « pourraient ouvrir la porte à l’espionnage ou à la manipulation étrangère, au piratage et aux campagnes de désinformation ».
La plainte de Zatko a été déposée par le cabinet d’avocats à but non lucratif Whistleblower Aid, qui a confirmé l’authenticité du document republiér. « Au cours de son emploi, Mudge a découvert des lacunes extrêmes et flagrantes de Twitter dans tous les domaines de son mandat, y compris … la confidentialité des utilisateurs, la sécurité numérique et physique, et l’intégrité de la plate-forme / la modération du contenu », indique la plainte.
La Federal Trade Commission examine actuellement la plainte de Zatko, qui a été déposée en juillet auprès de la FTC, de la Securities and Exchange Commission et du ministère de la justice. Une porte-parole de la commission sénatoriale du renseignement, Rachel Cohen, a déclaré que la commission prend également la plainte au sérieux et a organisé une réunion pour discuter des allégations de Zatko.
Les affirmations de Zatko arrivent à un moment particulièrement mal choisi. Twitter est au cœur d’une bataille juridique avec le milliardaire Elon Musk, qui a fait une offre d’achat pour Twitter, puis a essayé de se retirer après que la valeur de la société ait baissé en même temps que le marché. La justification de Musk pour essayer de se dégager de son contrat de 44 milliards de dollars pour une société dont la capitalisation boursière actuelle est de 31 milliards de dollars est basée sur son affirmation que Twitter a sous-estimé son nombre de faux comptes et a donc donné une fausse image de sa valeur.
La plainte allègue que Twitter a fait de fausses déclarations à la FTC sur la sécurité, la confidentialité et l’intégrité de la plateforme ; Twitter a violé les règles d’audit de la SEC pour les sociétés publiques ; a fait de fausses déclarations frauduleuses sur les violations de titres à son conseil d’administration ; et a fait preuve de « négligence et même de complicité en ce qui concerne les efforts des gouvernements étrangers pour infiltrer, contrôler, exploiter, surveiller et/ou censurer la plateforme, le personnel et les opérations de la société ».
L’avocat de Zatko au sein de l’association Whistleblower Aid, John Tye, a déclaré que Zatko n’a pas été en contact avec l’acheteur potentiel de Twitter, Elon Musk. Toutefois, la plainte de Zatko offre un soutien aux allégations de Musk selon lesquelles Twitter a sous-estimé le nombre de bots opérant sur sa plateforme. Le procès de Musk s’articule en partie autour des allégations de Musk selon lesquelles la société de médias sociaux a induit le PDG de Tesla en erreur pour qu’il paie plus pour Twitter que ce qu’il vaut, en faisant de très mauvaises déclarations sur le nombre total de comptes de spam. Une grande partie de la valeur de Twitter provient des ventes de publicité basées sur l’exposition promise aux utilisateurs légitimes. Par conséquent, le nombre de comptes de spam compte autant pour Musk que pour les régulateurs qui surveillent les risques de sécurité de Twitter.
Au début du mois, Twitter a déposé une réponse aux plaintes de Musk dans le cadre du litige au Delaware, les qualifiant d’efforts prétextuels pour éviter de remplir son obligation contractuelle d’acheter la société. Twitter s’est demandé si les motivations de Zatko étaient éthiques ou si elles reflétaient une intention malveillante. « Les allégations et le timing opportuniste de Zatko semblent conçus pour capter l’attention et infliger des dommages à Twitter, ses clients et ses actionnaires », a déclaré un porte-parole de Twitter. « La sécurité et la confidentialité sont depuis longtemps des priorités à l’échelle de l’entreprise chez Twitter et continueront de l’être. »
Zatko, un ancien membre bien connu du groupe de pirates Cult of the Dead Cow qui a travaillé chez Google, Stripe et au ministère américain de la défense, a de nombreux défenseurs dans la communauté de la sécurité qui ont réagi à la tentative de Twitter de blâmer son ancien responsable de la sécurité.
L’un des avocats de Musk, Alex Spiro, a déclaré à que Musk a déjà émis une assignation à comparaître pour Zatko, notant que l’équipe juridique de Musk a trouvé le licenciement de Zatko de Twitter plus tôt cette année « curieux » lorsqu’il est considéré à la lumière de ce qu’ils ont trouvé depuis le dépôt de la plainte.
En ce qui concerne la plainte dans son ensemble, un porte-parole de Twitter a toutefois déclaré à CNN que la plainte de Zatko mettait en avant un faux « récit sur nos pratiques en matière de confidentialité et de sécurité des données, qui est truffé d’incohérences et d’inexactitudes, et qui manque de contexte important ». « Mudge défend tout ce qu’il a divulgué, et sa carrière de dirigeant éthique et efficace parle d’elle-même », a déclaré Tye. « L’accent devrait être mis sur les faits exposés dans la divulgation, et non sur les attaques ‘ad hominem’ contre le dénonciateur. »
Le document de 84 pages du lanceur d’alerte décrit Twitter comme une entreprise sans vision de ses problèmes et sans leadership pour les résoudre. Il dresse un tableau désastreux des opérations informatiques de Twitter, affirmant que plus de 50 % des 500 000 serveurs du centre de données de l’entreprise utilisent des noyaux ou des systèmes d’exploitation non conformes, que plus de 30 % des appareils des employés ont désactivé les mises à jour logicielles et de sécurité, et que la gestion des appareils mobiles et la détection des menaces internes sont déficientes. Il se pourait également qu’environ la moitié des quelque 10 000 employés de Twitter ont accès aux systèmes de production en direct et aux données des utilisateurs.
Twitter risque des milliards de dollars d’amendes de la FTC s’il s’avère, comme le prétend Zatko, qu’il viole un accord conclu en 2010 avec la FTC pour répondre aux préoccupations des régulateurs fédéraux en matière de sécurité.
« Prenez une plateforme technologique qui collecte des quantités massives de données sur les utilisateurs, combinez-la avec ce qui semble être une infrastructure de sécurité incroyablement faible et infusez-la avec des acteurs étatiques étrangers avec un agenda, et vous avez une recette pour un désastre », a déclaré Grassley. « Les affirmations que j’ai reçues d’un lanceur d’alerte de Twitter soulèvent de graves problèmes de sécurité nationale ainsi que des questions de confidentialité, et elles doivent faire l’objet d’une enquête plus approfondie. »
Source : Developpez
