L'ancien responsable de la sécurité de Twitter, Peiter Zatko connu sous le nom de "Mudge", a accusé Twitter et son conseil d'administration d'avoir violé les règles financières, d'avoir commis des fraudes et d'avoir grossièrement négligé ses obligations en matière de sécurité, dans une plainte déposée le mois dernier auprès de la Securities & Exchange Commission, de la Federal Trade Commission et du ministère américain de la Justice. ll affirme également avoir été licencié pour avoir poussé des dirigeants de Twitter peu enclins à s'attaquer à des problèmes de sécurité majeurs - qui, selon sa plainte, « constituent une menace » pour les informations personnelles des utilisateurs de Twitter, pour les actionnaires de l'entreprise, pour la sécurité nationale et pour la démocratie.
Zatko allègue que les cadres de Twitter étaient plus investis dans la dissimulation de ces vulnérabilités, y compris la sélection et la présentation erronée des données sur les comptes de spam et les menaces de sécurité aux régulateurs et aux membres du conseil d'administration de Twitter. « Selon la plainte, les cadres supérieurs pouvaient gagner des primes individuelles allant jusqu'à 10 millions de dollars liées à l'augmentation du nombre d'utilisateurs quotidiens, et rien d'explicite pour la réduction du spam » rapporte le Post. Selon CNN, ces risques de sécurité « pourraient ouvrir la porte à l'espionnage ou à la manipulation étrangère, au piratage et aux campagnes de désinformation. »
La plainte de Zatko a été déposée par le cabinet d'avocats à but non lucratif Whistleblower Aid, qui a confirmé l'authenticité du document republié. « Au cours de son emploi, Mudge a découvert des lacunes extrêmes et flagrantes de Twitter dans tous les domaines de son mandat, y compris ... la confidentialité des utilisateurs, la sécurité numérique et physique, et l'intégrité de la plateforme / la modération du contenu », indique la plainte.
La Federal Trade Commission examine actuellement la plainte de Zatko, qui a été déposée en juillet auprès de la FTC, de la Securities and Exchange Commission et du ministère de la Justice. Une porte-parole de la commission sénatoriale du renseignement, Rachel Cohen, a déclaré que la commission prend également la plainte au sérieux et a organisé une réunion pour discuter des allégations de Zatko.
Les affirmations de Zatko arrivent à un moment particulièrement mal choisi. Twitter est au cœur d'une bataille juridique avec le milliardaire Elon Musk, qui a fait une offre d'achat pour Twitter, puis a essayé de se retirer après que la valeur de la société ait baissé en même temps que le marché. La justification de Musk pour essayer de se dégager de son contrat de 44 milliards de dollars pour une société dont la capitalisation boursière actuelle est de 31 milliards de dollars est basée sur son affirmation que Twitter a sous-estimé son nombre de faux comptes et a donc donné une fausse image de sa valeur.
La plainte allègue que Twitter a fait de fausses déclarations à la FTC sur la sécurité, la confidentialité et l'intégrité de la plateforme ; Twitter a violé les règles d'audit de la SEC pour les sociétés publiques ; a fait de fausses déclarations frauduleuses sur les violations de titres à son conseil d'administration ; et a fait preuve de « négligence et même de complicité en ce qui concerne les efforts des gouvernements étrangers pour infiltrer, contrôler, exploiter, surveiller et/ou censurer la plateforme, le personnel et les opérations de la société. »
L'avocat de Zatko au sein de l'association Whistleblower Aid, John Tye, a déclaré que Zatko n'a pas été en contact avec l'acheteur potentiel de Twitter, Elon Musk. Toutefois, la plainte de Zatko offre un soutien aux allégations de Musk selon lesquelles Twitter a sous-estimé le nombre de bots opérant sur sa plateforme. Le procès de Musk s'articule en partie autour des allégations de Musk selon lesquelles la société de médias sociaux a induit le PDG de Tesla en erreur pour qu'il paie plus pour Twitter que ce qu'il vaut, en faisant de très mauvaises déclarations sur le nombre total de comptes de spam. Une grande partie de la valeur de Twitter provient des ventes de publicité basées sur l'exposition promise aux utilisateurs légitimes. Par conséquent, le nombre de comptes de spam compte autant pour Musk que pour les régulateurs qui surveillent les risques de sécurité de Twitter.
Au début du mois, Twitter a déposé une réponse aux plaintes de Musk dans le cadre du litige au Delaware, les qualifiant d'efforts prétextuels pour éviter de remplir son obligation contractuelle d'acheter la société. Twitter s'est demandé si les motivations de Zatko étaient éthiques ou si elles reflétaient une intention malveillante. « Les allégations et le timing opportuniste de Zatko semblent conçus pour capter l'attention et infliger des dommages à Twitter, ses clients et ses actionnaires », a déclaré un porte-parole de Twitter. « La sécurité et la confidentialité sont depuis longtemps des priorités à l'échelle de l'entreprise chez Twitter et continueront de l'être ».
Zatko, un ancien membre bien connu du groupe de pirates Cult of the Dead Cow qui a travaillé chez Google, Stripe et au ministère américain de la Défense, a de nombreux défenseurs dans la communauté de la sécurité qui ont réagi à la tentative de Twitter de blâmer son ancien responsable de la sécurité.
L'un des avocats de Musk, Alex Spiro, a déclaré à que Musk a déjà émis une assignation à comparaître pour Zatko, notant que l'équipe juridique de Musk a trouvé le licenciement de Zatko de Twitter plus tôt cette année « curieux » lorsqu'il est considéré à la lumière de ce qu'ils ont trouvé depuis le dépôt de la plainte.
En ce qui concerne la plainte dans son ensemble, un porte-parole de Twitter a toutefois déclaré que la plainte de Zatko mettait en avant un faux « récit sur nos pratiques en matière de confidentialité et de sécurité des données, qui est truffé d'incohérences et d'inexactitudes, et qui manque de contexte important ». « Mudge défend tout ce qu'il a divulgué, et sa carrière de dirigeant éthique et efficace parle d'elle-même », a déclaré Tye. « L'accent devrait être mis sur les faits exposés dans la divulgation, et non sur les attaques "ad hominem" contre le dénonciateur. »
Le document de 84 pages du lanceur d'alerte décrit Twitter comme une entreprise sans vision de ses problèmes et sans leadership pour les résoudre. Il dresse un tableau désastreux des opérations informatiques de Twitter, affirmant que plus de 50 % des 500 000 serveurs du centre de données de l'entreprise utilisent des noyaux ou des systèmes d'exploitation non conformes, que plus de 30 % des appareils des employés ont désactivé les mises à jour logicielles et de sécurité, et que la gestion des appareils mobiles et la détection des menaces internes sont déficientes. Il se pourrait également qu'environ la moitié des quelque 10 000 employés de Twitter aient accès aux systèmes de production en direct et aux données des utilisateurs.
Twitter risque des milliards de dollars d'amendes de la FTC s'il s'avère, comme le prétend Zatko, qu'il viole un accord conclu en 2010 avec la FTC pour répondre aux préoccupations des régulateurs fédéraux en matière de sécurité.
« Prenez une plateforme technologique qui collecte des quantités massives de données sur les utilisateurs, combinez-la avec ce qui semble être une infrastructure de sécurité incroyablement faible et infusez-la avec des acteurs étatiques étrangers avec un agenda, et vous avez une recette pour un désastre », a déclaré Grassley. « Les affirmations que j'ai reçues d'un lanceur d'alerte de Twitter soulèvent de graves problèmes de sécurité nationale ainsi que des questions de confidentialité, et elles doivent faire l'objet d'une enquête plus approfondie. »
Et vous ?
Croyez-vous aux déclarations de l'ancien employé de Twitter contre l'entreprise ou simplement, une mauvaise fois manifeste ?
Que pensez-vous de ce nouveau rebondissement dans l'affaire opposant Musk à Tweeter ?
« L'accent devrait être mis sur les faits exposés dans la divulgation, et non sur les attaques "ad hominem" contre le dénonciateur. », qu'en pensez-vous ?
Est-ce selon vous, un tournant dans l'affaire en justice ?
Voir aussi :
Twitter a invité ses actionnaires à voter sur le rachat de la société par Elon Musk le 13 septembre et compte bien obliger le milliardaire à payer
Elon Musk porte plainte à son tour contre Twitter pour ne pas avoir à racheter l'entreprise, l'un des arguments avancés serait que Twitter a menti sur son nombre d'utilisateurs monnayables
Twitter manque les attentes des analystes en matière de bénéfices et impute sa baisse de revenus à Elon Musk, ainsi qu'à l'affaiblissement du marché publicitaire
Elon Musk renonce à acheter Twitter, évoquant la violation des obligations contractuelles, Twitter ne lui aurait pas fourni toutes les informations demandées sur le nombre de comptes spam
Les trois raisons pour lesquelles Elon Musk a annulé son acquisition de Twitter parmi lesquelles des « représentations matériellement inexactes » sur les utilisateurs actifs quotidiens monétisables