L’ancien responsable de la sécurité de l’information (RSI) de Twitter a porté une série d’accusations graves contre son ancien employeur lors d’un témoignage devant le Congrès américain, y compris des allégations selon lesquelles des agents étrangers d’Inde et de Chine travaillaient pour l’entreprise et que des dirigeants de Twitter induisaient en erreur le public et les régulateurs sur la sécurité des données.
« Premièrement, ils ne savent pas quelles données ils possèdent, où elles se trouvent ou d’où elles viennent, et donc, sans surprise, ils ne peuvent pas les protéger », a déclaré mardi Peiter Zatko devant la commission judiciaire du Sénat. « Cela conduit au deuxième problème : les employés doivent avoir trop accès à trop de données sur trop de systèmes. »
Il a rejoint l’entreprise en novembre 2020. Twitter dit qu’il a été licencié en janvier pour cause de « leadership inefficace et mauvaise performance ».
Zatko a été cité par SC Media comme disant que l’infrastructure de données de Twitter est tellement décentralisée que même la direction ne connaît pas toutes les données que l’entreprise collecte ou où elles sont stockées. Lorsqu’il a fait part de ces préoccupations à la direction de Twitter, il a affirmé que leur structure d’incitation les avait amenés à donner la priorité « à la rentabilité plutôt qu’à la sécurité ».
Le site d’information The Record l’a cité en disant qu’environ la moitié des employés de Twitter sont des ingénieurs qui ont un vaste accès aux systèmes de l’entreprise. Cependant, ces systèmes manquent souvent de capacités de journalisation, il peut donc être difficile de savoir si quelqu’un, tel qu’un agent d’un gouvernement étranger, accède à des informations de manière inappropriée.
Plusieurs agences de presse ont noté que Twitter était sous le coup d’un décret de consentement avec la Federal Trade Commission des États-Unis depuis 2011 en raison de plusieurs incidents de sécurité des données. Pas plus tard qu’en mai, Twitter a réglé une plainte civile de l’agence accusant la société d’avoir violé cette ordonnance en collectant les numéros de téléphone des utilisateurs à des fins de sécurité des comptes, puis en les utilisant pour cibler la publicité. La société a accepté de payer une amende de 150 millions de dollars américains.
En réponse aux allégations, l’Agence France Presse et d’autres ont noté que, dans un communiqué, Twitter a déclaré que son processus d’embauche est « indépendant de toute influence étrangère » et que l’accès aux données est géré par une multitude de mesures, notamment des vérifications des antécédents, des contrôles d’accès et des systèmes et processus de surveillance et de détection.
L’agence de presse Reuters a noté que de nombreuses allégations ne sont pas corroborées et ont peu de preuves documentaires.
Zatko était catégorique. « Ce n’est pas farfelu de dire qu’un employé de l’entreprise pourrait prendre en charge les comptes de tous les sénateurs dans cette salle », a-t-il déclaré. « Compte tenu du préjudice réel causé aux utilisateurs et à la sécurité nationale, j’ai déterminé qu’il était nécessaire de prendre le risque professionnel et personnel pour moi et ma famille de devenir un lanceur d’alerte. »
Le témoignage intervient alors que la Chambre des représentants des États-Unis traite d’un projet de loi fédéral bipartite sur la protection de la vie privée.
Adaptation et traduction française par Renaud Larue-Langlois.
