Faux comptes, manque de sécurité, données personnelles: ce qu'a révélé l'ancien employé de Twitter

Un ancien cadre de Twitter a semé la tourmente le mardi 23 août en publiant un document de 84 pages contenant des révélations sur de nombreux problèmes sur le réseau social. Peiter Zatko, ancien chef de la sécurité, a quitté ses fonctions en janvier dernier. Parmi ces révélations, transmises au Congrès américain en juillet et relayées par la chaîne américaine CNN et le Washington Post, plusieurs sujets transparaissent.

Lors de son arrivée chez Twitter en 2020, Zatko indique avoir trouvé de nombreux problèmes attenants à la sécurité de l'entreprise. Ses affirmations décrivent des "lacunes flagrantes, de la négligence, de l'ommission volontaire et des menaces à la sécurité nationale et à la démocratie". Selon lui, il est "impossible de protéger l'environnement de production". Un très grand nombre d'ingénieurs du réseau social ont un accès pratiquement illimité aux données et aux contrôles de l'entreprise. "Il n'y a aucun traçage, aucun historique de connexion ni des changements effectués", précise le rapport.

"Près de la moitié des 500.000 serveurs utilisés par l'entreprise fonctionnent sur des logiciels obsolètes ne remplissant pas les conditions de sécurité, tels que le chiffrage des données stockées", a-t-il écrit dans une lettre à un membre du conseil d'administration et relayée dans les documents constituant ses révélations.

En réponse, Twitter a indiqué que ses ingénieurs pouvaient accéder au système de production "s'ils avaient des missions spécifiques le justifiant". L'entreprise ne s'est pas prononcée au sujet du manque de sécurité du matériel et des serveurs. En outre, Zatko accuse Twitter d'avoir volontairement divulgué un certain nombre de tentatives de piratage de la plateforme, liées à ces manques de sécurité, auprès de son propre conseil d'administration, mais également auprès des autorités américaines.

Sur la chasse aux faux comptes

Les faux comptes, ou "bots", sont au coeur du procès qui opposera Elon Musk au réseau social concernant le rachat de l'entreprise par le milliardaire, finalement annulé par ce dernier. Leur nombre exact est à débat entre les deux parties, et pourrait avoir un poids financier sur la valeur réelle de l'entreprise.

Selon Zatko, l'exécutif au sein de Twitter n'a pas les ressources nécessaires pour juger de la quantité exacte de ces faux comptes, mais n'en a pas non plus la volonté, parce que le nombre réel pourrait porter préjudice à la valeur et à l'image de l'entreprise.

L'ancien employé a commencé à se renseigner sur les faux comptes début 2021. C'est à cette période que le chef de l'intégrité du site lui apprend que l'entreprise ne connait pas le nombre exact de faux comptes sur sa plateforme, et utilise des pratiques volontairement trompeuses pour l'estimer. En réponse, Twitter a affirmé à CNN que l'affirmation selon laquelle le nombre exact de faux comptes n'était pas connu "manque de contexte".

Sur les menaces étrangères

Le rapport indique que le gouvernement américain a affirmé à Twitter qu'au moins l'un de ses employés, sinon plus, a travaillé parallèlement pour les services de renseignements d'un autre pays. Début août, un ancien cadre de l'entreprise a par ailleurs été accusé d'espionnage pour le compte de l'Arabie saoudite.

Sur les données personnelles

Zatko affirme dans son rapport que le réseau social ne supprime pas, comme la loi le requiert, les données personnelles des utilisateurs une fois qu'ils ont supprimé leur compte - notamment parce que l'entreprise a tout simplement perdu, dans la plupart des cas, la trace de ces données.

Sur la plainte de la FTC en 2011

En 2010, la Federal Trade Commission américaine a émis une plainte contre Twitter pour sa mauvaise gestion des données personnelles des utilisateurs, et pour un accès trop facile des ingénieurs aux contrôles majeurs du réseau social.

Peiter Zatko affirme que l'entreprise ne s'est "jamais mise en conformité" avec les demandes de la FTC, et ce depuis une dizaine d'années. En résulte, selon l'ancien employé, un "taux anormalement élevé d'incidents".

Cette accusation est grave. Si elle vient à se confirmer, Twitter pourrait se voir infliger des milliards de dollars d'amende par la FTC, en conséquence des mesures que l'entreprise n'a jamais prise depuis la plainte en 2011.

Toutes ces accusations émises par Peiter Zatko sont désormais entre les mains du Congrès américain, qui les examine. La décision des autorités face à ces révélations pourrait changer l'avenir du réseau social, déjà largement entamé par son procès contre le milliardaire Elon Musk.