Twitter incapable de protéger les données des utilisateurs, selon un ancien RSI

L’ancien responsable de la sécurité de l’information (RSI) de Twitter a porté une série d’accusations graves contre son ancien employeur lors d’un témoignage devant le Congrès américain, y compris des allégations selon lesquelles des agents étrangers d’Inde et de Chine travaillaient pour l’entreprise et que des dirigeants de Twitter induisaient en erreur le public et les régulateurs sur la sécurité des données.

« Premièrement, ils ne savent pas quelles données ils possèdent, où elles se trouvent ou d’où elles viennent, et donc, sans surprise, ils ne peuvent pas les protéger », a déclaré mardi Peiter Zatko devant la commission judiciaire du Sénat. « Cela conduit au deuxième problème : les employés doivent avoir trop accès à trop de données sur trop de systèmes. »

Il a rejoint l’entreprise en novembre 2020. Twitter dit  qu’il a été licencié en janvier pour cause de « leadership inefficace et mauvaise performance ».

Zatko a été cité par SC Media comme disant que l’infrastructure de données de Twitter est tellement décentralisée que même la direction ne connaît pas toutes les données que l’entreprise collecte ou où elles sont stockées. Lorsqu’il a fait part de ces préoccupations à la direction de Twitter, il a affirmé que leur structure d’incitation les avait amenés à donner la priorité « à la rentabilité plutôt qu’à la sécurité ».

Le site d’information The Record l’a cité en disant qu’environ la moitié des employés de Twitter sont des ingénieurs qui ont un vaste accès aux systèmes de l’entreprise. Cependant, ces systèmes manquent souvent de capacités de journalisation, il peut donc être difficile de savoir si quelqu’un, tel qu’un agent d’un gouvernement étranger, accède à des informations de manière inappropriée.

Plusieurs agences de presse ont noté que Twitter était  sous le coup d’un décret de consentement avec la Federal Trade Commission des États-Unis depuis 2011 en raison de plusieurs incidents de sécurité des données. Pas plus tard qu’en mai, Twitter a réglé une plainte civile de l’agence accusant la société d’avoir violé cette ordonnance en collectant les numéros de téléphone des utilisateurs à des fins de sécurité des comptes, puis en les utilisant pour cibler la publicité. La société a accepté de payer une amende de 150 millions de dollars américains.

En réponse aux allégations, l’Agence France Presse et d’autres ont noté que, dans un communiqué, Twitter a déclaré que son processus d’embauche est « indépendant de toute influence étrangère » et que l’accès aux données est géré par une multitude de mesures, notamment des vérifications des antécédents, des contrôles d’accès et des systèmes et processus de surveillance et de détection.

L’agence de presse Reuters a noté que de nombreuses allégations ne sont pas corroborées et ont peu de preuves documentaires.

Zatko était catégorique. « Ce n’est pas farfelu de dire qu’un employé de l’entreprise pourrait prendre en charge les comptes de tous les sénateurs dans cette salle », a-t-il déclaré. « Compte tenu du préjudice réel causé aux utilisateurs et à la sécurité nationale, j’ai déterminé qu’il était nécessaire de prendre le risque professionnel et personnel pour moi et ma famille de devenir un lanceur d’alerte. »

Le témoignage intervient alors que la Chambre des représentants des États-Unis traite d’un projet de loi fédéral bipartite sur la protection de la vie privée.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Meta aurait accepté un règlement de 37,5 M$ US dans le cadre d’une poursuite pour violation de la vie privée

Meta, la société mère de Facebook, a accepté de payer 37,5 millions de dollars pour régler un procès alléguant que la plate-forme de médias sociaux a violé la vie privée des utilisateurs en suivant leurs mouvements sans autorisation.

Plus de poursuites judiciaires probables dans l’affaire de divulgation de documents de Waterloo, affirme un expert

Une récente affaire de divulgation de documents qui a forcé TextNow Inc. de Waterloo en Ontario à nommer deux de ses abonnés accusés d'avoir terrorisé les employés de la société de jeux Bungie Inc. pourrait entraîner de nouvelles poursuites civiles ou pénales contre ceux-ci, affirme l'avocat spécialisé en cybersécurité Imran Ahmad.

Twitter de retour après une panne majeure

Le réseau social Twitter a connu une panne majeure ce matin. Bien que celle-ci n’ait duré qu’une quarantaine de minutes, elle semble avoir affecté l’ensemble des utilisateurs de la plateforme. 

Balado Hashtag Tendances, 14 juillet 2022 — Twitter vs Musk, Facebook en inuktitut, retrait sur Twitter et VPN malveillants

Balado Hashtag Tendances, 14 juillet 2022 — La saga Twitter-Musk se poursuit, Facebook en inuktitut, se retirer d’une enfilade sur Twitter et des VPN malveillants.

La Cour supérieure autorise une action collective contre Google

Une action collective initiée par Option consommateurs et le cabinet d’avocats Belleau Lapointe visant les pratiques de collecte de données personnelles à large échelle de Google au Québec vient d’être autorisée par la Cour supérieure du Québec