Déjà empêtré dans un procès avec Elon Musk sur le rachat avorté du réseau social, Twitter est aussi la cible de son ancien responsable sécurité qui l’accuse de négligences sur la cybersécurité. Selon le Washington Post et CNN, Peiter « Mudge » Zatko, hacker réputé, a déposé plainte début juillet auprès de la Securities and Exchange Commission (SEC), de la Federal Trade Commission (FTC) et du ministère de la Justice des États-Unis.
Peiter Zatko a été recruté par Twitter à la fin de l’année 2020 comme CISO. Son embauche est intervenue quelques mois après l’exploitation d’une faille ayant permis à des pirates de détourner les comptes Twitter de certaines personnalités comme Joe Biden ou Elon Musk. Il a été licencié moins de deux ans après sa nomination.
Un niveau de sécurité pas à la hauteur
Dans sa plainte, l’expert affirme avoir été témoin de « déficiences flagrantes, de négligences, d'ignorance délibérée et de menaces pour la sécurité nationale et la démocratie ». Pour lui, la firme ne disposait pas de contrôles de sécurité de base. Par ailleurs, il a observé que des milliers d'ordinateurs portables d'employés contenaient des copies complètes du code source de Twitter et qu'environ un tiers de ces terminaux bloquaient les correctifs de sécurité automatiques. Ils avaient des pare-feu système désactivés et un accès à distance au PC activé mais non validé. En conséquence, « il a été constaté à plusieurs reprises que des employés installaient intentionnellement des logiciels espions sur leurs ordinateurs de travail à la demande d'organisations externes », précise Peiter Zatko.
Dans sa plainte, l'ancien CISO rapporte aussi qu’environ 5 000 salariés avaient un large accès aux logiciels internes de l’entreprise et que cet accès n’était pas étroitement surveillé. Ils pouvaient donc voir des données sensibles et modifier le fonctionnement du service. « Rien qu'en 2020, Twitter a connu plus de 40 incidents de sécurité, dont 70 % étaient liés au contrôle d'accès », indique le spécialiste. En matière de gestion des vulnérabilités, Peiter Zatko a découvert que « la moitié des 500 000 serveurs des datacenters de la société fonctionnaient avec des logiciels obsolètes ne prenant pas en charge les fonctions de sécurité basiques comme le chiffrement des données stockées ou ne recevaient plus de mises à jour régulières de la part des fournisseurs ». Enfin, pour rejoindre les allégations d’Elon Musk sur le pourcentage de faux comptes et de bots sur Twitter, l’ancien CISO estime que les dirigeants du réseau social ne disposent pas des ressources nécessaires pour connaître le nombre réel de bots sur la plateforme.
Interrogé sur ces différentes accusations, un porte-parole de Twitter a indiqué que « M. Zatko a été licencié de son rôle de cadre supérieur chez Twitter en janvier 2022 pour leadership inefficace et mauvaises performances. Ce que nous avons vu jusqu'à présent est un faux récit sur Twitter et nos pratiques en matière de confidentialité et de sécurité des données qui est truffé d'incohérences et d'inexactitudes et qui présente un manque de contexte important ».