Après le scandale judiciaire qui oppose Elon Musk, patron de Tesla, à Twitter, le réseau social est accusé de graves manquements en matière de cybersécurité par un ex-employé. Ce dernier n’est autre que Peiter Zatko, surnommé “Mudge”, un pionnier en sécurité informatique. Manipulation des systèmes de contrôles, data centers obsolètes, espionnage de service de renseignement étranger, absence d’environnement de développement… On t’explique en détails les manquements aberrants que pointe du doigt Peiter Zatko.
Cybersécurité : manquements de Twitter pouvant nuire à la sécurité des États-Unis
Twitter ne finit pas de faire la Une des magazines à scandales depuis plusieurs semaines. En plus du procès qui l’oppose au directeur général de Tesla Motors, Elon Musk, le réseau social à l’oiseau est accusé de graves manquements en matière de cybersécurité par son ex-chef de la sécurité, Peiter Zatko. Surnommé “Mudge”, il avait été recruté fin 2020 par l’entreprise américaine pour remettre de l’ordre dans ses systèmes informatiques. Bien avant d’être viré par Twitter, ce hacker légendaire et éthique s’est positionné en tant que lanceur d’alerte.
La plainte de Peiter Zatko a été rendue publique le 23 août 2022 par le Washington Post et CNN. Dans ces quelque 200 pages, l’expert en cybersécurité accuse Twitter de ne faire aucun effort pour assurer la sécurité du réseau social ainsi que celle de ses utilisateurs. Et il faut dire que Parag Agrawal, actuel CEO de Twitter, en prend pour son grade. Le mois dernier, la plainte a notamment été remise aux agences gouvernementales américaines dont la SEC, le régulateur des marchés financiers, la FTC (Federal Trade Commission), ainsi que le ministère de la justice. Pourquoi ? Car selon Mudge, le manque d’investissement de Twitter en matière de cybersécurité peut clairement nuire à la sécurité nationale des États-Unis, voire à la démocratie.
Ce que reproche concrètement Peiter Zatko à Twitter
Un accès aux contrôles de la plateforme par la moitié des employés
Dans sa plainte, Peiter Zatko liste tous les manquements aberrants constatés au sein des services internes du réseau social. Le premier concerne l’accès aux contrôles critiques de la plateforme par près de la moitié des effectifs de l’entreprise. Cette accusation n’est pas difficile à croire et rappelle brièvement l’épisode durant lequel un ex-employé du service client de Twitter avait supprimé le compte de Donald Trump, président des États-Unis à cette époque.
Absence d’environnement de développement
Comme évoqué plus haut, Twitter ne disposerait également pas d’environnement de développement web, pourtant indispensable avant une mise en production pour un site web. C’est en voulant sécuriser l’accès à la production de la plateforme que Peiter Zatko s’est rendu compte de cela, suite à l’insurrection du 6 janvier durant laquelle des centaines de partisans de Trump avaient pris d’assaut le Capitole. Ce manquement est, de loin, l’un des plus sidérants puisqu’il est donc impossible de contrôler les actions réalisées en interne.
Cybersécurité : multiplication des tentatives d’espionnage
Cerise sur le gâteau, d’importants risques d’espionnage auraient été constatés chez Twitter. En effet, avant le départ de Mudge, le gouvernement américain avait transmis à l’oiseau bleu des preuves dénonçant qu’un de ses employés n’était autre qu’un agent d’un service de renseignement étranger. Le gouvernement indien est de la partie. Celui-ci aurait imposé à Twitter d’engager l’un de ses agents. He oui, on se croirait dans un de ses films d’espionnage…
En parallèle à cela, l’expert en cybersécurité pointe du doigt un échange plus que douteux avec Parag Agrawal. Ce dernier aurait souhaité suivre les règles de censure souhaitées par la Russie.
Data centers obsolètes et vulnérables
Twitter enchaîne les bourdes en termes de cybersécurité. Selon Mudge, près de 500 000 serveurs sont vulnérables en matière de sécurité informatique, si bien qu’une bonne moitié d’entre eux se composent de logiciels obsolètes. Ce point peut compromettre l’avenir du réseau social. En cas de problème informatique, les data centers de Twitter ne sont pas en capacité de redémarrer puisqu’aucune procédure n’est mise en place. Autrement dit, Twitter peut disparaître du jour au lendemain, oui oui !
Aucun suivi des données générées une fois supprimées
Et pour couronner le tout, la sécurité des données personnelles des utilisateurs de Twitter est aussi mise à mal dans la plainte de Zatko. L’entreprise américaine ne saurait pas ce que deviennent les données générées par un utilisateur une fois effacées. Ce qui revient à douter fortement des obligations tenues par Twitter suite à son accord avec la FTC en 2011.
Mudge : une légende vivante de la cybersécurité
Si ces faits te paraissent tirés par les cheveux, sache qu’ils sont tous recensés par l’un des pionniers dans le secteur de la cybersécurité. En effet, Mudge est très vite devenu une figure incontournable grâce à son impressionnante carrière gouvernementale. Après avoir été hacker dans le groupe L0pht Heavy Industries dans les années 90, il rejoint le ministère de la Défense américain, puis rejoint les bancs de Google en tant que cadre dirigeant.
Peiter Zatko se démarque notamment comme étant le premier hackers éthique puisqu’en 1998, il n’hésite pas à témoigner devant le congrès américain pour avertir de l’importance de la sécurité informatique.
« Twitter fait preuve d’une négligence flagrante dans plusieurs domaines de la sécurité informatique. Si ces problèmes ne sont pas corrigés, les régulateurs, les médias et les utilisateurs de la plate-forme seront choqués lorsqu’ils apprendront inévitablement les graves lacunes de Twitter en la matière », écrit Peiter Zatko dans une note interne jointe à sa plainte.
Tu l’auras compris, les fautes reprochées à Twitter sont lourdes. Rendues publiques, ces accusations peuvent fortement jouer en faveur d’Elon Musk dans son procès qui l’oppose à Twitter suite à l’annulation de son rachat de la plateforme. Il faudra attendre encore quelques mois pour connaître l’avenir du réseau social à l’oiseau bleu.
