Twitter a conclu un règlement de 7 millions de dollars avec son ancien haut responsable de la sécurité, Peiter Zatko, en juin, après avoir été licencié de l'entreprise et avoir fait part de ses inquiétudes quant à ses pratiques de sécurité.
Les avocats d'Elon Musk, qui tente de se retirer d'un accord de 44 milliards de dollars pour acheter Twitter, ont révélé le règlement lors d'une audience mardi. Au cours de l'audience, les avocats de Musk ont fait valoir avec succès que les accusations de Zatko selon lesquelles Twitter avait déformé ses pratiques de sécurité devaient être incluses dans l'affaire relative à l'accord.
« Ils payent 7 millions de dollars au gars et s'assurent qu'il se taise », a déclaré Alex Spiro, un avocat de Musk, lors de l'audience.
Mercredi, la juge chargée de l'affaire a décidé que Musk pourrait discuter des problèmes de sécurité soulevés par Zatko lors d'un procès en octobre sur l'accord devant le Delaware Chancery Court. Le procès déterminera si Musk doit poursuivre son offre d'achat de la société de médias sociaux.
Zatko a déclaré aux régulateurs dans un rapport en juillet que Twitter les avait induits en erreur, ainsi que le public, sur sa sécurité en déformant la façon dont il combat le spam et les pirates. Cela violait un accord de 2011 que Twitter avait conclu avec la Federal Trade Commission, qui avait interdit à l'entreprise de tromper les utilisateurs sur ses mesures de sécurité et de confidentialité, a-t-il soutenu.
La chancelière Kathaleen McCormick de la Cour de la chancellerie du Delaware a rejeté la demande d'Elon Musk de retarder son procès avec Twitter. Cela dit, l'équipe juridique du milliardaire a été autorisée à inclure dans son dossier les allégations de l'ancien responsable de la sécurité et lanceur d'alerte de l'entreprise, Peiter "Mudge" Zatko.
Twitter a poursuivi Musk en juillet pour avoir tenté d'annuler l'offre de 44 milliards de dollars qu'il avait faite en avril pour acheter le site Web.
Le magnat de Tesla est revenu sur sa promesse de reprendre l'entreprise dans le cadre d'un accord entièrement en cash, accusant Twitter de ne pas divulguer le nombre réel de faux comptes de robots comme raison principale de l'échec des négociations. Twitter, quant à lui, veut qu'il finalise l'acquisition comme promis ou paye des frais de rupture de 1 milliard de dollars et le traîne en justice dans le Delaware, aux États-Unis, pour obtenir ce qu'il veut.
Les comptes "bots" sont des comptes qui ne sont pas gérés par des personnes réelles. En raison de leur caractère automatique, ces comptes peuvent mettre à mal la valeur financière du réseau social. En effet, celle-ci se calcule principalement par le nombre d'abonnés "monétisables", c'est-à-dire qui sont susceptibles de visualiser de la publicité. Les faux comptes sont devenus un point central dans l'affaire qui oppose le réseau social à Musk. Affirmant que Twitter aurait menti sur le nombre réel de ces faux comptes, Musk en a fait l'élément principal pour justifier son choix de ne finalement pas acheter le réseau social.
Musk a tenté de repousser la procédure à deux reprises maintenant. Premièrement, il a fait valoir que son équipe juridique avait besoin de plus de temps pour préparer son dossier contre Twitter.
Puis, après que Zatko a affirmé dans une plainte de lanceur d'alerte que, entre autres, l'entreprise n'avait pas réussi à sécuriser les données privées des utilisateurs, Musk a demandé de reporter à nouveau le procès pour donner à ses avocats plus de temps pour passer au peigne fin les allégations à utiliser comme justification pour mettre fin à l'accord de reprise.
Le procès est prévu le 17 octobre.
La plainte de Zatko
L'ancien responsable de la sécurité de Twitter, Peiter Zatko connu sous le nom de "Mudge", a accusé Twitter et son conseil d'administration d'avoir violé les règles financières, d'avoir commis des fraudes et d'avoir grossièrement négligé ses obligations en matière de sécurité, dans une plainte déposée en juillet auprès de la Securities & Exchange Commission, de la Federal Trade Commission et du ministère américain de la Justice. Il affirme également avoir été licencié pour avoir poussé des dirigeants de Twitter peu enclins à s'attaquer à des problèmes de sécurité majeurs - qui, selon sa plainte, « constituent une menace » pour les informations personnelles des utilisateurs de Twitter, pour les actionnaires de l'entreprise, pour la sécurité nationale et pour la démocratie.
Zatko allègue que les cadres de Twitter étaient plus investis dans la dissimulation de ces vulnérabilités, y compris la sélection et la présentation erronée des données sur les comptes de spam et les menaces de sécurité aux régulateurs et aux membres du conseil d'administration de Twitter. « Selon la plainte, les cadres supérieurs pouvaient gagner des primes individuelles allant jusqu'à 10 millions de dollars et liées à l'augmentation du nombre d'utilisateurs quotidiens, et rien d'explicite pour la réduction du spam » rapporte le Post. Selon CNN, ces risques de sécurité « pourraient ouvrir la porte à l'espionnage ou à la manipulation étrangère, au piratage et aux campagnes de désinformation. »
La plainte de Zatko a été déposée par le cabinet d'avocats à but non lucratif Whistleblower Aid, qui a confirmé l'authenticité du document republié. « Au cours de son emploi, Mudge a découvert des lacunes extrêmes et flagrantes de Twitter dans tous les domaines de son mandat, y compris ... la confidentialité des utilisateurs, la sécurité numérique et physique, et l'intégrité de la plateforme / la modération du contenu », indique la plainte.
La Federal Trade Commission examine actuellement la plainte de Zatko, qui a été déposée en juillet auprès de la FTC, de la Securities and Exchange Commission et du ministère de la Justice. Une porte-parole de la commission sénatoriale du renseignement, Rachel Cohen, a déclaré que la commission prend également la plainte au sérieux et a organisé une réunion pour discuter des allégations de Zatko.
Le contexte de l'arrivée de Zatko dans l'entreprise
Twitter était confronté à de nombreux défis en matière de sécurité. En 2019, le gouvernement américain a accusé deux hommes d'espionnage pour l'Arabie saoudite alors qu'ils travaillaient sur Twitter des années auparavant, disant qu'ils avaient transmis des informations privées sur les critiques du royaume. Selon des documents judiciaires, l'un des participants au stratagème est l'associé du prince héritier saoudien Mohammed bin Salman, qui, selon la CIA, a probablement ordonné l'assassinat du journaliste Jamal Khashoggi à Istanbul en 2018.
L'affaire a mis en lumière la question des puissances étrangères exploitant les plateformes américaines de médias sociaux pour identifier les critiques et réprimer leurs voix. Et cela soulève des inquiétudes quant à la capacité de la Silicon Valley à protéger les informations privées des dissidents et autres utilisateurs contre les gouvernements répressifs. En 2020, Twitter a été victime d'un piratage au cours duquel de jeunes hackers ont ciblé les employés via une attaque d'hameçonnage par téléphone pour exploiter les vulnérabilités humaines afin d'accéder aux systèmes internes de l'entreprise.
Cela a permis aux pirates informatiques de détourner plus de 130 comptes Twitter dans le cadre d'une escroquerie de cryptomonnaie au début du mois de juillet. Selon un mémo interne de Twitter, les pirates ont utilisé un processus en plusieurs étapes, piratant les différents niveaux d'accès-employés pour obtenir les identifiants de connexion au réseau interne de l'entreprise, puis s'emparant des identifiants de niveau administrateur nécessaires pour accéder aux outils de support interne disponibles pour quelques employés seulement.
Cette attaque a également permis aux hackers de modifier les paramètres des comptes et de tweeter à partir des comptes du candidat à la présidence de l'époque, Joe Biden, du fondateur de Microsoft, Bill Gates, et du PDG de Tesla, Elon Musk. Début août 2020, la FTC a ouvert une enquête sur Twitter, accusant la société d'avoir utilisé les numéros de téléphone de ses utilisateurs à des fins publicitaires, alors qu'ils lui étaient communiqués pour l'authentification à deux facteurs. Dans un communiqué, Twitter a indiqué que l'usage des numéros de téléphone et des adresses e-mail à des fins publicitaires était « involontaire ».
« Nous avons récemment découvert que lorsque vous avez fourni une adresse e-mail ou un numéro de téléphone à des fins de sécurité (dans le cadre de l'authentification à deux facteurs, par exemple), ces données peuvent avoir été utilisées par mégarde à des fins publicitaires, en particulier avec nos fonctionnalités d'audiences personnalisées et d'audiences tierces », a déclaré l'entreprise. En dehors de ces inquiétudes, la société est également confrontée à d'autres problèmes liés à la sécurité, dont la désinformation.
Sujet à des problèmes de sécurité de plus en plus récurrents, Twitter a décidé de nommer fin 2020 Peiter Zatko, l'un des hackers informatiques les plus réputés au monde, au poste de responsable de la sécurité pour l'aider à améliorer et à renforcer ses pratiques en matière de sécurité.
Le parcours de Zatko
Peiter Zatko a déjà fait ses preuves en tant que hacker particulier et en travaillant pour Google et le gouvernement américain. En effet, la carrière colorée de Zatko a commencé dans les années 1990, lorsqu'il a simultanément mené des travaux classifiés pour un entrepreneur du gouvernement et a été parmi les dirigeants du Cult of the Dead Cow, un groupe de hacking connu pour avoir développé des outils de hacking de Windows afin d'inciter Microsoft à améliorer la sécurité.
Mieux connu sous le pseudonyme de "Mudge", Zatko est développeur open source, expert en sécurité réseau, écrivain et hacker. Il est né le 1er décembre 1970 à Boston dans le Massachusetts et est diplômé du Berklee College of Music. Il fut directeur général et chercheur en chef de "L0pht Heavy Industries", un fameux groupe de hackers spécialiste en sécurité informatique. Il est l'un des sept membres du L0pht qui ont témoigné devant une commission du Sénat en 1998 sur les graves vulnérabilités de l'Internet à cette époque.
Le L0pht est devenu le cabinet de conseil en sécurité informatique "@stake" en 1999, et Mudge est devenu vice-président de la recherche et du développement, puis responsable scientifique. Entretemps, il est responsable des premières recherches sur un type de vulnérabilité de sécurité connu sous le nom de débordement de la mémoire tampon. Il a publié en 1995 "How to Write Buffer Overflows", l'un des premiers articles sur le sujet.
Mudge est aussi l'auteur de certains des premiers avis de sécurité et recherches démontrant les premières vulnérabilités d'Unix telles que l'injection de code, les attaques de canal latéral et les fuites d'informations. C'est également l'auteur initial des outils de sécurité L0phtCrack, AntiSniff et l0phtwatch. En outre, c'est l'une des premières personnes de la communauté des hackers à tendre la main et à établir des relations avec le gouvernement et l'industrie. Très sollicité en tant qu'orateur, il est intervenu lors de conférences de pirates informatiques, comme la DEF CON, et de conférences universitaires comme USENIX.
En 2000, après les premières attaques paralysantes par déni de service diffusées sur Internet, il a été invité à rencontrer le président Bill Clinton lors d'un sommet sur la sécurité aux côtés de membres du cabinet et de dirigeants de l'industrie. En 2004, Mudge est devenu scientifique chez l'entrepreneur gouvernemental BBN Technologies, où il a d'abord travaillé dans les années 1990, et a également rejoint le conseil consultatif technique de NFR Security. En 2010, il a été annoncé qu'il serait chef de projet d'un projet DARPA visant à diriger la recherche en matière de cybersécurité.
En 2013, il a annoncé qu'il quitterait la DARPA pour un poste à Google ATAP (Advanced Technology and Projects). En 2015, Zatko a annoncé sur Twitter qu'il rejoindrait un projet appelé #CyberUL, une organisation de test pour la sécurité informatique inspirée des Underwriters Laboratories, mandatée par la Maison-Blanche. Désormais, il va mettre son expertise au service Twitter. Dans une interview lundi, Zatko a déclaré qu'il examinera « la sécurité de l'information, l'intégrité du site, la sécurité physique, l'intégrité de la plateforme, dont les premiers éléments concernent les abus et la manipulation de la plateforme, et l'ingénierie ».
Source : WSJ
Commenting for this entry has expired.