Au début de l’année, un ancien responsable de la cybersécurité chez Twitter a été informé par le gouvernement américain qu’au moins un agent du ministère chinois de la Sécurité d’État (MSS) (principal service secret du PCC) était salarié dans l’entreprise.
Ce n’est qu’une des révélations faites par Peiter « Mudge » Zatko, lors de son audition devant la commission judiciaire du Sénat le 13 septembre. Peiter Zatko a été le chef de la sécurité informatique de Twitter pendant 14 mois avant d’être licencié au début de l’année.
Lors de l’audition, le sénateur Chuck Grassley (Parti républicain‑Iowa), a questionné l’informaticien en ces termes : « Dans votre déclaration, vous avez mentionné que le FBI avait informé Twitter que l’un de ses employés était soupçonné d’être un agent étranger chinois. Avez‑vous, ou d’autres personnes chez Twitter, été surpris par cette information ? »
Peiter Zatko a répondu en avoir été informé une semaine avant son licenciement.
« L’équipe de sécurité physique de l’entreprise avait été contactée et informée qu’il y avait au moins un agent du MSS, un service secret chinois, sur la liste des employés de Twitter », a‑t‑il déclaré.
Dans son témoignage Peiter Zatko a pu aborder de nombreux problèmes de sécurité importants chez Twitter. L’informaticien avait transmis une plainte en juillet auprès de la Securities and Exchange Commission (SEC, le « gendarme » de la bourse américaine), une autre auprès du régulateur américain du commerce (Federal Trade Commission, ou FTC), pour finalement s’adresser aux autorités américaines et devenir officiellement un lanceur d’alerte protégé par la loi.
Twitter a qualifié les affirmations de Peiter Zatko de « faux narratif ».
Durant l’audition le lanceur d’alerte a déclaré avoir informé la direction de Twitter de ses inquiétudes quant à la présence d’agents étrangers au sein de l’entreprise. Mais il n’a pas été écouté et ses inquiétudes ont été éludées.
« Lorsque j’ai dit : ‘Je suis convaincu que nous avons un agent étranger’, la réponse a été : ‘Puisque nous en avons déjà un, quelle importance si nous en avons d’autres. Continuons à agrandir le siège.’ »
L’informaticien a signalé que Twitter était une véritable « mine d’or » pour toute agence de renseignement étrangère capable d’y placer un espion.
« Si vous placez quelqu’un sur Twitter … comme nous savons que cela s’est produit, il serait très difficile pour Twitter de le trouver. Ils [les agents secrets] seraient probablement en mesure de rester là pendant très longtemps, et d’obtenir des informations importantes à fournir, soit sur le ciblage des personnes, soit des informations concernant les décisions et les discussions de Twitter et … la direction de l’entreprise. »
Peiter Zatko est un ancien hacker surnommé « white hat ». Très respecté dans son milieu, il a autrefois travaillé pour Google, la société de paiements Stripe et le département de la Défense des États‑Unis. C’est en 2020 qu’il a été embauché par Jack Dorsey, alors PDG de Twitter. À cette époque, la plateforme venait d’être piratée. Des dizaines de comptes très médiatisés avaient été détournés pour promouvoir une escroquerie au bitcoin.
Commerce avec la Chine
Dans ses révélations Peiter Zatko a également signalé la dépendance croissante de Twitter à l’égard de sociétés chinoises. Twitter travaille toujours davantage avec des compagnies chinoises, alors même que la plateforme est bloquée en Chine. Ces sociétés chinoises, obligées de rendre des comptes aux Parti communiste chinois, peuvent accéder aux données des utilisateurs chinois ayant contourné le Grand pare‑feu chinois.
« Les dirigeants de Twitter savaient qu’accepter de l’argent chinois risquait de mettre en danger les utilisateurs en Chine », indique son témoignage de 84 pages.
Au fil des ans, le régime chinois a arrêté, harcelé et emprisonné des citoyens pour avoir contourné son pare‑feu afin d’utiliser et de publier des messages sur Twitter.
« Ils n’ont jamais su quelles personnes ils mettaient en danger, ni quelles informations ils donnaient au gouvernement, ce qui m’a fait craindre qu’ils n’avaient pas vraiment réfléchi au problème, au fait qu’ils mettaient leurs utilisateurs en danger », a déclaré Peiter Zatko lors de l’audience.
La direction, a‑t‑il continué, a répondu à ses préoccupations comme suit : « Nous sommes déjà engagés. Ce serait problématique si nous perdions cette source de revenus. Alors trouvez un moyen de rendre les gens à l’aise avec ça. »
Les failles de la direction
La direction a pris l’habitude de rejeter systématiquement les avertissements de Peiter Zatko.
Elle a choisi d’ignorer ses avertissements répétés concernant des problèmes de cybersécurité « essentiels ». Elle a choisi de tromper son conseil d’administration, ses actionnaires et le public à ce sujet parce qu’elle était incitée à « privilégier les profits par rapport à la sécurité », dénonce Peiter Zatko.
« Ce que j’ai découvert lorsque j’ai rejoint Twitter [en novembre 2020], c’est que cette entreprise extrêmement influente avait plus d’une décennie de retard sur les normes de sécurité du secteur. »
Les failles de sécurité des données chez Twitter, selon l’informaticien, proviennent de deux problèmes fondamentaux : « Ils ne savent pas quelles données ils ont, où elles vont ni d’où elles viennent. Et donc, sans surprise, ils ne peuvent pas les protéger. Et cela conduit au deuxième problème, à savoir que les employés ont un accès trop important à trop de données et trop de systèmes. »
Pour illustrer le second point, le lanceur d’alerte a déclaré qu’environ la moitié des employés de Twitter pouvaient avoir accès au compte Twitter du sénateur Chuck Grassley (Parti républicain‑Iowa), le membre le plus important de la commission.
« Les failles de l’entreprise en matière de cybersécurité la rendent vulnérable, et cela peut causer un préjudice réel à des personnes réelles », a insisté Peiter Zatko.
« Lorsqu’une plateforme médiatique influente peut être compromise par des adolescents, des voleurs et des espions, et que l’entreprise crée de façon répétée des problèmes de sécurité par elle‑même, c’est un gros problème pour nous tous. »
Parmi ses revendications, Zatko a déclaré que Twitter a trompé les régulateurs sur la conformité avec une ordonnance de la Federal Trade Commission de 2011 sur le traitement inapproprié des données des utilisateurs.
Depuis lors, Twitter a fait « peu de progrès significatifs sur les systèmes de sécurité, d’intégrité et de confidentialité de base », selon la plainte de Zatko.
Ce témoignage survient alors que Twitter est engagée dans une bataille juridique avec Elon Musk. Le PDG de Tesla s’est retiré d’un accord de 44 milliards de dollars pour racheter la plateforme de médias sociaux en raison de son manque de transparence concernant le nombre de comptes robots et de spams sur la plateforme.
Twitter a poursuivi Musk pour avoir mis fin à l’accord, tandis que Musk a contre‑attaqué, accusant Twitter de fraude. Le procès est prévu pour le mois prochain dans un tribunal du Delaware.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.