Hier soir, à la veille de l’audience d’aujourd’hui, les dirigeants démocrate et républicain de la commission judiciaire du Sénat américain ont fustigé Twitter pour de prétendues failles de sécurité dans une lettre présentant le témoignage du lanceur d’alerte Peiter « Mudge » Zatko.
« Nous écrivons au sujet des récentes allégations selon lesquelles Twitter a fermé les yeux sur l’infiltration de renseignements étrangers, ne protège pas adéquatement les données des utilisateurs et a fourni des informations trompeuses ou inexactes sur ses pratiques de sécurité aux agences gouvernementales », a déclaré le président du comité judiciaire, Richard Durbin (D-Ill .) et membre de classement Charles Grassley (R-Iowa) a écrit au PDG de Twitter Parag Agrawal.
Zatko, qui était le chef de la sécurité de Twitter de novembre 2020 jusqu’à son licenciement en janvier 2022, a allégué dans sa plainte qu’il avait « découvert des lacunes extrêmes et flagrantes de Twitter dans tous les domaines de son mandat, y compris… la confidentialité des utilisateurs, la sécurité numérique et physique, et intégrité de la plate-forme/modération du contenu. » Zatko a également affirmé que Twitter était coupable d’avoir « menti à propos des bots à Elon Musk », bien que sa plainte ne semble pas réfuter la divulgation publique de Twitter selon laquelle moins de 5% de ses utilisateurs actifs quotidiens monétisables (mDAU) sont des spams ou des faux.
La lettre de Durbin et Grassley portait sur les failles de sécurité présumées de Twitter, y compris les « pratiques de sécurité des données [that] peut permettre aux gouvernements étrangers et aux agences de renseignement d’accéder à des données sensibles identifiant les utilisateurs de Twitter. » La question des agences de renseignement étrangères « n’est pas une préoccupation théorique », ont écrit les sénateurs. agent étranger du Royaume d’Arabie Saoudite. Alors qu’il était employé par Twitter, l’accusé a accepté des paiements en échange de l’accès et de la transmission des informations privées des utilisateurs de Twitter à la famille royale saoudienne et à d’autres responsables saoudiens. »
Zatko allègue une « bombe à retardement » de failles de sécurité
Le comité judiciaire a invité Twitter à faire comparaître quelqu’un à l’audience d’aujourd’hui, mais la société a apparemment refusé. La déclaration d’ouverture de Zatko lors de l’audience a déclaré: « En rejoignant Twitter, j’ai découvert que l’entreprise avait 10 ans de problèmes de sécurité critiques en retard, et qu’elle ne faisait pas de progrès significatifs sur eux. C’était une bombe à retardement de vulnérabilités de sécurité. Rester fidèle à mon philosophie de divulgation éthique, j’ai divulgué à plusieurs reprises ces failles de sécurité aux plus hauts niveaux de l’entreprise.
La lettre de Durbin et Grassley demandait à Agrawal de répondre à une liste de questions d’ici le 26 septembre. ils ont demandé. « Dans quelle mesure les équipes de sécurité de Twitter sont-elles capables de déterminer si des agents de gouvernements étrangers ou d’autres acteurs néfastes ont tenté d’accéder à des systèmes sensibles ou à des données d’utilisateurs ? »
Ils ont en outre demandé comment Twitter « assure[s] que les employés situés dans des pays étrangers sont protégés de l’influence des gouvernements étrangers » et que « les employés ne travaillent pas activement pour le compte de gouvernements étrangers. pays de langue », écrivent-ils.
Lors de l’audience d’aujourd’hui, Zatko a témoigné qu’on lui avait « dit qu’il y avait au moins un agent du MSS, qui est l’un des services de renseignement chinois, sur la liste de paie de Twitter », a rapporté Vice.
Les sénateurs sondent l’accès des employés aux données
La lettre de Durbin et Grassley décrit les affirmations selon lesquelles Twitter n’a pas un contrôle suffisant sur la façon dont les employés accèdent aux données sensibles. La « divulgation de Zatko suggère que plus de la moitié des employés à temps plein de l’entreprise ont un accès privilégié aux systèmes de production de Twitter, permettant à plusieurs milliers d’employés d’accéder aux données sensibles des utilisateurs – alors que, dans le même temps, Twitter n’aurait pas la capacité suffisante pour savoir de manière fiable qui a ont accédé à des systèmes et à des données spécifiques et ce qu’ils en ont fait », ont-ils écrit.
Les sénateurs ont demandé à Agrawal combien d’ingénieurs et d’autres employés de Twitter avaient « accès aux systèmes de production en direct et/ou aux données des utilisateurs » et ont posé plusieurs autres questions sur l’accès et la sécurité des employés. « Dans quelle mesure les ingénieurs de Twitter utilisent-ils des données de production en direct et testent-ils de nouveaux logiciels directement sur le service commercial de l’entreprise, par opposition à des systèmes de test séparés ?… Si un nouveau logiciel n’est pas testé dans un système de test séparé, en utilisant des données de test, veuillez expliquer pourquoi Twitter ne suit pas cette pratique, ce que font beaucoup de ses sociétés homologues », ont-ils écrit.
Les sénateurs ont demandé à Agrawal de répondre aux affirmations selon lesquelles lorsque la Federal Trade Commission « a demandé à Twitter s’il supprimait complètement les données des utilisateurs qui avaient quitté le service, Twitter a délibérément induit la FTC en erreur en déclarant que ces comptes étaient » désactivés « , même lorsque les données n’étaient pas entièrement supprimé. »
Ils ont également demandé à Agrawal de confirmer ou de réfuter les allégations selon lesquelles « plus de 50 % des 500 000 serveurs de centres de données de Twitter [use] noyaux ou systèmes d’exploitation non conformes », que nombre de ces serveurs sont « incapables de prendre en charge le chiffrement au repos », que plus de 30 % des appareils des employés ont des mises à jour logicielles et de sécurité désactivées, et que Twitter n’a « pas de gestion des appareils mobiles » pour les téléphones des employés.
Nous avons contacté Twitter à propos de la lettre et mettrons à jour cet article si nous obtenons une réponse.
Mise à jour à 17 h HE: Twitter a répondu à Ars, affirmant que « l’audience d’aujourd’hui ne fait que confirmer que les allégations de M. Zatko sont truffées d’incohérences et d’inexactitudes ». Twitter a également déclaré que son processus d’embauche n’était pas affecté par l’influence étrangère et que la société gérait l’accès aux données avec des vérifications des antécédents, des contrôles d’accès et des systèmes de surveillance et de détection.