Dénonciateur de Twitter au Congrès : un mauvais acteur peut prendre le contrôle de n’importe lequel de vos comptes
Beaucoup trop d’employés de Twitter ont accès aux données des utilisateurs, selon l’ancien responsable de la sécurité de Twitter.
Le dénonciateur de Twitter Peiter « Mudge » Zatko est apparu devant le Comité judiciaire du Sénat sur le Capitole mardi et a fait part à certains des politiciens les plus puissants des États-Unis de nouvelles frappantes :
Il serait facile pour un mauvais acteur de prendre en charge l’un de ses comptes Twitter et de commencer à tweeter à partir de celui-ci, selon Zatko.
Ce n’est pas une préoccupation nouvelle. En 2020, un pirate informatique de 17 ans a pu s’introduire dans les systèmes internes de Twitter, prendre le contrôle des principaux comptes vérifiés, y compris ceux appartenant à Joe Biden, Barack Obama et Elon Musk, et commencer à tweeter à partir d’eux. Cependant, comme l’explique Zatko, c’est toujours quelque chose qui pourrait facilement se reproduire, et il considère cela comme une menace pour la sécurité nationale.
Zatko, qui travaillait auparavant comme responsable de la sécurité de Twitter, s’est rapidement retrouvé sous les projecteurs quelques semaines seulement après avoir dénoncé son ancien employé. L’expert en cybersécurité, mieux connu sous son pseudo « Mudge », affirme que Twitter est en proie à des problèmes de confidentialité et de sécurité. Zatko a également travaillé pour le gouvernement américain dans le cadre de la DARPA.
L’un des principaux sujets abordés par les membres de la commission judiciaire du Sénat concernait l’influence d’agents étrangers sur Twitter. Selon le sénateur Chuck Grassley (R-IA), Twitter a été prévenu par le FBI sur la possibilité d’avoir un ou plusieurs agents chinois et indiens travaillant pour l’entreprise.
Le mois dernier, un ancien employé de Twitter a été reconnu coupable d’espionnage pour l’Arabie Saoudite. Donc, le fait que ce soit une préoccupation n’est pas une nouvelle de dernière heure, mais le fait que cela puisse encore se produire ne représente pas Twitter sous son meilleur jour. Zatko a déclaré que lorsqu’il avait fait part de ces préoccupations aux dirigeants de l’entreprise, une réponse qu’il avait reçue était « Eh bien, puisque nous en avons déjà un, quel est le problème si nous en avons plus? »
Que peuvent faire les agents étrangers lorsqu’ils travaillent chez Twitter ? Zatko a partagé l’histoire d’un dirigeant de Twitter qui s’inquiétait des tweets d’un utilisateur qui lui étaient destinés. Lorsque Zatko a demandé à un subordonné d’examiner les tweets de cet utilisateur sur l’exécutif, l’employé a pu lui donner des informations telles que l’endroit où vivait l’utilisateur de Twitter et d’où il postait actuellement. Selon Zatko, beaucoup trop d’employés de Twitter ont beaucoup trop accès à beaucoup trop de données et beaucoup trop de systèmes internes. L’ancien responsable de la sécurité a expliqué qu’il avait vu des vendeurs sur des marchés tiers facturer l’accès aux systèmes internes de Twitter.
Ce n’est pas non plus le seul problème avec cette collecte de données, selon Zatko. Il a expliqué que l’entreprise ne sait même pas quelles données elle possède, où elle se trouve ou d’où elle vient. Ces données incluent les numéros de téléphone, les e-mails et les emplacements où ils accèdent à la plateforme Twitter des utilisateurs.
Twitter a tenté de présenter Zatko comme un ex-employé marqué. Cependant, lors de l’audience, il a clairement indiqué l’importance de Twitter dans le paysage en ligne et c’est pourquoi il a dénoncé. Dans ses mots, il veut voir l’entreprise bien fonctionner, mais il ne pouvait pas rester les bras croisés pendant qu’ils écartaient ces problèmes préjudiciables.
Au fil des ans, Capitol Hill a vu de nombreuses audiences concernant des problèmes de données et des problèmes de sécurité impliquant une porte tournante des entreprises Big Tech. Ces entreprises sortent généralement assez indemnes de ces auditions, quelle que soit la brutalité des membres du Congrès lors des audiences. À un moment donné au cours de cette audience, la sénatrice Amy Klobuchar (D-MN) a utilisé son temps pour exprimer sa frustration face à cette chose même. Elle a expliqué qu’essentiellement rien n’a été fait au Sénat pour répondre aux préoccupations exprimées lors de ces audiences au fil des ans.
L’inaction du Sénat sur ces questions n’est pas le seul manquement du gouvernement évoqué. Zatko a expliqué que Twitter n’était tout simplement pas préoccupé par la FTC, car toute règle qu’ils enfreindraient entraînerait probablement des amendes uniques que l’entreprise considérait comme le coût de faire des affaires. Il a comparé la réaction de Twitter à la version française de la FTC, l’agence de protection des données CNIL. Zatko a déclaré que Twitter était « terrifié » par eux en raison de sanctions plus graves et plus sévères pour avoir enfreint les lois du pays.
L’audition de Zatko ne changera rien à tout cela. Mais son témoignage a exposé les problèmes qu’il voit sur Twitter d’une manière qui fait vraiment comprendre ces préoccupations. Le témoignage de Zatko a peut-être ressemblé à l’alarmisme familier à propos de Big Tech et à un plan directeur pour utiliser sa collecte secrète de données d’utilisateurs à des fins financières, mais il centre une conclusion plus étroite : Twitter n’a en fait aucune idée de ce qu’il fait. Et, à leur tour, ils sont irresponsables avec vos données. Des acteurs néfastes peuvent voler votre compte et s’en tirer parce que les systèmes internes de Twitter sont en désordre.
Comme Zatko l’explique, Twitter a déjà connu des problèmes de sécurité très réels. Pourtant, il semble que l’entreprise n’ait tiré aucune leçon. Selon Zatko, ces mêmes problèmes exacts pourraient facilement être exploités par de mauvais acteurs aujourd’hui.
