WASHINGTON (AP) – L’ancien chef de la sécurité de Twitter a déclaré mardi au Congrès qu’il y avait “au moins un agent” du service de renseignement chinois sur la masse salariale de Twitter et que la société a sciemment autorisé l’Inde à ajouter également des agents à la liste de la société, ce qui pourrait donner à ceux l’accès des nations aux données sensibles sur les utilisateurs.
Ce sont là quelques-unes des révélations troublantes de Peiter “Mudge” Zatko, un expert respecté en cybersécurité et lanceur d’alerte sur Twitter qui a comparu devant le Comité judiciaire du Sénat pour exposer ses accusations contre l’entreprise.
Zatko a déclaré aux législateurs que la plate-forme de médias sociaux est en proie à de faibles cyberdéfenses qui la rendent vulnérable à l’exploitation par des “adolescents”.voleurs et espions » et mettre en danger la vie privée de ses utilisateurs.
“Je suis ici aujourd’hui parce que la direction de Twitter induit en erreur le public, les législateurs, les régulateurs et même leur propre conseil d’administration”, a déclaré Zatko en commençant son témoignage sous serment.
“Ils ne savent pas quelles données ils ont, où elles se trouvent et d’où elles viennent, donc sans surprise, ils ne peuvent pas les protéger”, a déclaré Zatko. “Peu importe qui a les clés s’il n’y a pas de serrures.”
“La direction de Twitter a ignoré ses ingénieurs”, a-t-il dit, en partie parce que “leurs incitations à la direction les ont amenés à donner la priorité au profit plutôt qu’à la sécurité”.
Dans un communiqué, Twitter a déclaré que son processus d’embauche est “indépendant de toute influence étrangère” et que l’accès aux données est géré par une série de mesures, notamment des vérifications des antécédents, des contrôles d’accès et des systèmes et processus de surveillance et de détection de la confidentialité.
Un problème qui n’a pas été soulevé lors de l’audience était la question de savoir si Twitter compte avec précision ses utilisateurs actifs, une mesure importante pour ses annonceurs. Le PDG de Tesla, Elon Musk, qui tente de sortir d’un accord de 44 milliards de dollars pour acheter Twitter, a fait valoir sans preuve que bon nombre des 238 millions d’utilisateurs quotidiens estimés de Twitter sont des comptes faux ou malveillants, également connus sous le nom de “bots spam”.
Pourtant, “cela ne veut pas dire que Musk n’utilisera pas l’accusation de Zatko selon laquelle Twitter n’était pas intéressé à éliminer les bots pour essayer de renforcer son argument pour se retirer de l’accord”, a déclaré l’analyste d’Insider Intelligence Jasmine Enberg.
Le juge du Delaware chargé de l’affaire a statué la semaine dernière que Musk pouvait inclure de nouvelles preuves liées aux allégations de Zatko dans le procès à enjeux élevés, qui devrait commencer le 17 octobre. Au cours de l’audience, Musk a tweeté un emoji pop-corn, qui est souvent utilisé pour suggérer que l’on est assis en attendant que le drame se déroule.
Séparément mardi, les actionnaires de Twitter ont voté à une écrasante majorité pour approuver l’accord, selon plusieurs médias. Les actionnaires votent à distance sur la question depuis des semaines. Le vote était en grande partie une formalité, en particulier compte tenu des efforts de Musk pour annuler l’accord, bien qu’il supprime un obstacle juridique à la conclusion de la vente.
Le message de Zatko fait écho à celui présenté au Congrès contre un autre géant des médias sociaux l’année dernière. Mais contrairement à la dénonciatrice de Facebook Frances Haugen, Zatko n’a pas apporté de trésors de documents internes pour étayer ses affirmations.
Zatko était le chef de la sécurité de la plate-forme influente jusqu’à ce qu’il soit licencié plus tôt cette année. Il a déposé une plainte de lanceur d’alerte en juillet auprès du Congrès, du ministère de la Justice, de la Federal Trade Commission et de la Securities and Exchange Commission. Parmi ses allégations les plus graves, Twitter a violé les termes d’un règlement FTC de 2011 en affirmant à tort qu’il avait mis en place des mesures plus strictes pour protéger la sécurité et la confidentialité de ses utilisateurs.
Le sénateur Dick Durbin, un démocrate de l’Illinois qui dirige le comité judiciaire, a déclaré que Zatko avait des failles détaillées “qui pourraient constituer une menace directe pour les centaines de millions d’utilisateurs de Twitter ainsi que pour la démocratie américaine”.
“Twitter est une plate-forme extrêmement puissante et ne peut pas se permettre d’énormes vulnérabilités”, a-t-il déclaré.
À l’insu des utilisateurs de Twitter, il y a beaucoup plus d’informations personnelles divulguées qu’eux, ou même Twitter lui-même, ne le pensent, a déclaré Zatko. Il a déclaré que Twitter n’avait pas réussi à résoudre les “défauts systémiques de base” mis en avant par les ingénieurs de l’entreprise.
La FTC a été “un peu au-dessus de sa tête”, et loin derrière ses homologues européens, dans la surveillance des types de violations de la vie privée qui se sont produites sur Twitter, a déclaré Zatko.
L’accusation de Zatko selon laquelle Twitter était plus préoccupé par les régulateurs étrangers que la FTC, a déclaré Enberg, “pourrait être un signal d’alarme pour les législateurs américains” qui n’ont pas été en mesure d’adopter une réglementation significative sur les entreprises de médias sociaux.
Le sénateur Lindsey Graham, un républicain de Caroline du Sud, a déclaré qu’un résultat positif qui pourrait découler des conclusions de Zatko serait une législation bipartite visant à établir un système plus strict de réglementation des plateformes technologiques.
“Nous devons améliorer notre jeu dans ce pays”, a-t-il déclaré.
De nombreuses affirmations de Zatko ne sont pas fondées et semblent avoir peu de preuves documentaires. Twitter a qualifié la description des événements par Zatko de “faux récit… truffé d’incohérences et d’inexactitudes” et dépourvu de contexte significatif.
Pourtant, Zatko s’est avéré être un lanceur d’alerte convaincant qui a “beaucoup de crédibilité dans cet espace”, a déclaré Ari Lightman, professeur de médias numériques et de marketing à l’Université Carnegie Mellon. Mais il a dit que bon nombre des problèmes qu’il a soulevés se retrouvent probablement dans de nombreuses autres plateformes de technologie numérique.
“Ils évitent les protocoles de sécurité dans le sens d’innover et de fonctionner très rapidement”, a déclaré Lightman. « Nous avons donné aux plateformes numériques tellement d’autonomie au début pour grandir et se développer. Maintenant, nous sommes à un point où nous sommes, ‘Attendez une minute… C’est devenu incontrôlable.’
Parmi les affirmations de Zatko qui ont attiré l’attention des législateurs, il y avait la négligence apparente de Twitter dans ses relations avec les gouvernements cherchant à décrocher un travail d’espionnage au sein de l’entreprise. L’incapacité de Twitter à enregistrer la façon dont les employés ont accédé aux comptes d’utilisateurs a rendu difficile pour l’entreprise de détecter quand les employés abusaient de leur accès, a déclaré Zatko.
Zatko a déclaré avoir parlé avec “une grande confiance” d’un agent étranger que le gouvernement indien a placé sur Twitter pour “comprendre les négociations” entre le parti au pouvoir en Inde et Twitter sur les nouvelles restrictions des médias sociaux et sur le bon déroulement de ces négociations.
Zatko a également révélé mardi avoir été informé environ une semaine avant son limogeage qu'”au moins un agent” du service de renseignement chinois MSS, ou du ministère de la Sécurité d’Etat, était “payé” sur Twitter.
Il s’est dit également “surpris et choqué” par un échange avec l’actuel PDG de Twitter Parag Agrawal à propos de la Russie, dans lequel l’actuel PDG de Twitter, qui était directeur de la technologie à l’époque, a demandé s’il serait possible d'”effacer” la modération du contenu. et la surveillance du gouvernement russe, puisque Twitter n’a vraiment “pas la capacité ni les outils pour faire les choses correctement”.
« Et puisqu’ils ont des élections, cela ne fait-il pas d’eux une démocratie ? Zatko s’est souvenu des paroles d’Agrawal.
Le sénateur Charles Grassley, le républicain de rang du comité, a déclaré mardi qu’Agrawal avait refusé de témoigner à l’audience, citant des poursuites judiciaires en cours avec Musk. Mais l’audience est “plus importante que le litige civil sur Twitter dans le Delaware”, a déclaré Grassley. Twitter a refusé de commenter les commentaires de Grassley.
Dans sa plainte, Zatko a accusé Agrawal, ainsi que d’autres cadres supérieurs et membres du conseil d’administration, de nombreuses violations, notamment de “déclarations fausses et trompeuses aux utilisateurs et à la FTC concernant la sécurité, la confidentialité et l’intégrité de la plate-forme Twitter”.
Zatko, 51 ans, s’est fait connaître pour la première fois dans les années 1990 en tant que pionnier du mouvement de piratage éthique et a ensuite occupé des postes de haut niveau dans une unité d’enquête d’élite du ministère de la Défense et chez Google. Il a rejoint Twitter fin 2020 à la demande du PDG de l’époque, Jack Dorsey.
___
O’Brien a rapporté de Providence, Rhode Island; Ortutay a rapporté d’Oakland, en Californie.
___
Suivez Marcy Gordon sur https://twitter.com/mgordonap