Recevez chaque jour toute l'actualité du numérique

x

Twitter accusé de graves manquements par son ex-chef de la sécurité, un hacker légendaire

Vu ailleurs Les temps sont durs pour Twitter. En plein duel judiciaire avec Elon Musk concernant l'annulation de son rachat du réseau social, l'entreprise se voit en parallèle accusée de lacunes inadmissibles en matière de sécurité informatique par Peiter "Mudge" Zatko, qui avait été recruté fin 2020 pour y remettre de l'ordre. Pionnier du hacking éthique, l'homme est une figure révérée du secteur, et connu pour sa grande intégrité.
mis à jour le 25 août 2022 à 10H30
Twitter Facebook Linkedin Flipboard Email
×

Twitter accusé de graves manquements par son ex-chef de la sécurité, un hacker légendaire
Twitter accusé de graves manquements par son ex-chef de la sécurité, un hacker légendaire © Unsplash

Nouveau scandale pour Twitter, et non des moindres. Une plainte déposée par un lanceur d'alerte et rendue publique le 23 août par CNN et le Washington Post révèle que l'entreprise aurait des "lacunes extrêmes" en matière de sécurité informatique, qu'elle ne ferait aucun réel effort pour lutter contre le spam, et qu'elle aurait été compromise par des espions de gouvernement étrangers.

Parag Agrawal, ancien CTO et actuel CEO de l'entreprise depuis novembre 2021, est lourdement incriminé par le document, qui totalise près de 200 pages et a été envoyé le mois dernier à plusieurs agences gouvernementales américaines, dont le ministère de la justice, la FTC (qui régule les pratiques commerciales), et la SEC (régulateur des marchés financiers).

Il conclut que le service pose un danger pour les informations personnelles de ses utilisateurs, mais aussi pour la sécurité nationale des Etats-Unis et même pour la démocratie. Plusieurs sénateurs américains ont indiqué vouloir s'emparer de l'affaire.
 

une réputation sans faille

De son côté, Twitter balaie les accusations d'un revers de main et les attribue à l'amertume d'un employé licensié en janvier 2022 pour "performances insuffisantes". L'homme en question est Peiter Zatko, et fut recruté comme chef de la sécurité par Jack Dorsey fin 2020 après que le réseau social ait été piraté.

Le problème avec cette réponse est que Zatko, plus connu sous son pseudonyme "Mudge", est une légende vivante de la cybersécurité. Pionnier du secteur (découvreur notamment des attaques par "buffer overflow"), il fut l'un des premiers "hackers éthiques" de l'histoire, témoignant devant le congrès américain en 1998 pour alerter sur l'importance de la sécurité informatique. S'ensuivit une prestigieuse carrière gouvernementale, puis des rôles de cadre dirigeant dans le privé, notamment chez Google et Stripe.

Sa crédibilité est donc particulièrement élevée, et il ne cache pas dans son interview au Washington Post que la décision de se placer en lanceur d'alerte fut le résultat d'une "compulsion éthique". On note par ailleurs qu'il avait entamé cette procédure avant son licenciement (de même que bien avant qu'Elon Musk n'exprime un intérêt pour le rachat de l'entreprise). Il juge qu'il a justement été mis à la porte car il insistait pour alerter sur les manquements élémentaires qu'il avait observés.

Des manquements aberrants

Peiter Zatko décrit des pratiques invraisemblables, avec notamment l'accès par des milliers d'employés (près de la moitié des effectifs de l'entreprise) aux contrôles critiques de la plateforme. Ce n'est pas dur à croire. On se rappelle à titre d'exemple qu'un employé aux responsabilités peu élevés (service client) avait effacé le compte de Donald Trump, alors président des Etats-Unis, lors de son dernier jour au sein de l'entreprise.

Suite à l'insurrection du 6 janvier, lors de laquelle des partisans de Donald Trump ont tenté de prendre d'assaut certaines instances clés du gouvernement, Zatko s'est inquiété de la possibilité qu'un employé de Twitter puisse manipuler le réseau social pour faire empirer la situation. Il aurait tenté de sécuriser l'accès à la production, chose qui se serait avérée impossible car... l'ensemble des ingénieurs ont accès, et il n'y a pas de journalisation ni des accès, ni des actions effectuées. Il n'y aurait pas d'environnement de développement dédié, tout se ferait directement en production.

En clair, aucun moyen de vérifier qui fait quoi, ni même qu'elle action a été effectuée. Ce qui lui fait dire que Twitter ne s'est jamais correctement conformé à ses obligations suite à son accord avec la FTC en 2011 concernant la gestion des données personnelles de ses utilisateurs. L'entreprise ne saurait même plus ce qu'il advient des données lorsqu'un utilisateurs les efface (comprendre qu'elles pourraient rester stockées quelque part). Et pour empirer les choses, quatre stations de travail sur dix au sein de l'entreprise ne seraient pas correctement sécurisées, d'après un rapport interne.

Data centers mal gérés

Et cela ne s'arrête pas là. Zatko avance que l'infrastructure du réseau elle-même serait mal comprise en interne, et que ses 500 000 serveurs sont eux-mêmes dans un état de vulnérabilité inacceptable. La moitié d'entre eux tournerait sur des logiciels obsolètes, qui ne gèrent pas des fonctionnalités de base comme le chiffrement des données au repos, ni ne reçoivent de mises à jour de sécurité.

Le lanceur d'alerte en avait fait part aux régulateurs dès le mois de février par le biais d'un courrier. Twitter n'aurait par ailleurs pas assez de capacités de redondance, ni de procédures adéquates pour faire redémarrer ses data centers, ce qui pourrait en théorie mettre le réseau social hors service même en cas de problème mineur.

D'importants risques d'espionnage

Autre problème soulevé et non des moindres : la vulnérabilité face aux actions de certains gouvernements étrangers dont les intérêts seraient contraires à ceux des Etats-Unis. Peiter Zatko révèle que peu avant son départ, le gouvernement américain aurait communiqué à Twitter des preuves qu'au moins un de ses employés serait un agent d'un service de renseignement étranger.

On notera qu'un ancien manager de l'entreprise a été condamné il y a deux semaines pour espionnage au service de l'Arabie Saoudite. Par ailleurs, le lanceur d'alerte avance que le gouvernement indien aurait obligé le réseau social à embaucher l'un de ses agents. Il également souligne un échange avec Parag Agrawal dans lequel ce dernier aurait argumenté en faveur de suivre les règles de censure demandées par la Russie (ce qui ne fut au final pas le cas suite à l'invasion de l'Ukraine).

Les dirigeants de Twitter mis en cause

Parag Agrawal et ses lieutenants auraient constamment tenté de décourager Peiter Zatko de faire part de ses découvertes au conseil d'administration, lui intimant par exemple d'en parler à l'oral et pas au travers d'un document écrit, lui demandant de savemment trier les informations pour donner l'illusion que des progrès ont été effectués, ou passant derrière lui pour faire disparaître un rapport sur la propagande gouvernementale et la désinformation qu'il avait commandé à une entreprise externe. Celle-ci est identifié comme étant Alethea Group, et son rapport pointait du doigt des effectifs insuffisants et des conditions de travail où les équipes "trébuchent d'une crise à une autre".

CNN indique que Zatko est plus clément envers Jack Dorsey, le lanceur d'alerte estimant qu'il semblait réellement désirer une amélioration des problèmes de sécurité du service, cependant son rapport souligne qu'il était extrêmement en retrait de ses obligations au cours de cette dernière année et que ses équipes n'avaient que peu de contacts avec lui.

Une aubaine pour Elon Musk

Si l'action de Peiter Zatko n'est pas directement liée au contentieux qui oppose Elon Musk à Twitter, elle pourrait jouer en la faveur du milliardaire. Ce dernier s'était montré particulièrement cavalier lors de la procédure de rachat, le taux de spam sur la plateforme (qu'il met en avant comme raison pour annuler son rachat) ne figurant par exemple pas parmi les motifs pouvant mener à la fin de l'accord. Mais les déclarations de Peiter Zatko sont beaucoup plus sérieuses et pourraient en théorie constituer des "dommages matériels" suffisants pour justifier ce revirement.

A noter que Peiter Zatko évoque aussi directement la question du spam en prélude de son rapport et qu'il présente certains éléments comme soutenant la position de Musk, mais que ses arguments en la matière sont en réalité peu convaincants. Ce court passage, sans grand rapport avec le reste de son alerte, semble au mieux être une tactique pour amplifier l'écho médiatique de son action, et au pire le résultat d'une mauvaise compréhension juridique de la nature du contentieux opposant Elon Musk à Twitter (il faut dire que l'entrepreneur brouille aussi les pistes). Un rappel qu'une grande expertise n'est toujours pas transférable d'un domaine à un autre.

Quoiqu'il en soit, ce scandale fait les affaires du patron de SpaceX et Tesla. Les avocats d'Elon Musk disent qu'ils avaient d'ailleurs déjà sollicité Peiter Zatko dans le cadre du procès, simplement sur la base de son départ abrupt, de même qu'elles ont sollicité Jack Dorsey, l'ancien CEO dont on sait qu'il était mêlé au projet de rachat en sous-marin. Coup de flair ou coup de chance, Musk pourrait en tout cas s'en tirer à bon compte, même si rien n'est encore joué.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.