Peiter Zatko, un hacker connu sous le pseudonyme de « Mudge », a été le chef de la sécurité de Twitter entre 2020 et 2022. Dans un rapport envoyé aux autorités américaines, il dénonce son ancien employeur, auteur de multiples infractions.

Et si Elon Musk avait raison ? Dans le procès Twitter v. Musk, tout laisse penser que le patron de Tesla est celui qui se moque du monde. Le milliardaire dit que Twitter ne dit pas la vérité sur le nombre de faux comptes, ce qui est pour lui une bonne raison pour ne pas racheter l’entreprise. Malheureusement pour Musk, l’opinion publique, ainsi que la juge en charge de l’affaire, semblent douter de ses motivations et défendent Twitter, qui risque de perdre beaucoup d’argent si le rachat n’intervenait pas.

Le vent s’apprête-t-il à tourner ? Dans un rapport de 84 pages envoyé aux autorités américaines à la mi-août 2022, Peiter Zatko, un des spécialistes en cybersécurité les plus réputés de la planète, et accessoirement l’ex-chef de la sécurité de Twitter, fait un portrait extrêmement négatif de son ancien employeur. Le Washington Post a mis la main sur une copie de la plainte qui, si elle se révèle vraie, pourrait anéantir la réputation de l’entreprise.

Twitter, une entreprise « chaotique », à l’origine de « déficiences extrêmes »

Connu sous le pseudonyme de Mudge, Peiter Zatko a rejoint Twitter en 2020 après un piratage gigantesque du réseau social. Jack Dorsey, le créateur de l’entreprise, qui dirigeait Twitter à l’époque, lui avait proposé de prendre la direction de la sécurité de l’entreprise pour régler les problèmes que rencontrait Twitter. Peiter Zatko a accepté ce défi, mais se serait vite rendu compte du réel état de Twitter. Nous parlerons dorénavant au conditionnel, puisque nous n’avons pas l’assurance que ce que dit Peiter Zatko est vrai.

Peiter Zatko
Peiter Zatko s’est confié au Washington Post après avoir déposé plainte. // Source : Twitter

Selon le lanceur d’alertes, Twitter mentirait énormément. Voici quelques-unes de ses révélations :

  • Twitter aurait menti à la FTC (Federal Trade Commission) américaine en affirmant en 2011 avoir un plan pour renforcer sa sécurité. La moitié des serveurs de l’entreprise ne seraient en réalité pas à jour et les données de ses utilisateurs ne seraient pas du tout protégées. Cela pourrait poser beaucoup de problèmes, puisque Twitter possède plusieurs informations sensibles sur des personnalités importantes (chefs d’État, gouvernements, chefs d’entreprise…).
  • Des centaines d’employés posséderaient un accès à un logiciel leur donnant accès à une sorte de « mode Dieu ». Ils pourraient accéder aux données de tous les utilisateurs et changer leurs identifiants. Ce logiciel avait provoqué un piratage massif en 2020, mais rien n’aurait été corrigé.
  • Ce même logiciel servirait à des espions travaillant pour des États. Zatko donne l’exemple de l’Inde, qui aurait obtenu un accès pour surveiller des manifestations ou d’un ex-employé de Twitter qui aurait utilisé ce logiciel en échange d’argent et de cadeaux de la part du gouvernement saoudien.
  • Elon Musk aurait raison, Twitter sous-estimerait volontairement le nombre de faux comptes. Pourquoi ? Parce que sa direction gagnerait de l’argent en fonction du nombre de nouveaux inscrits. Elle aurait donc fait le choix de laisser les spams se multiplier.
Paragcover
Parag Agrawal a renvoyé Peiter Zatko en janvier 2022. // Source : Google Cloud / YouTube

Que va-t-il se passer maintenant ? Les autorités américaines analysent ces données qui, initialement, avaient été transmises à Twitter après que l’entreprise a décidé de renvoyer Peiter Zatko à cause de ses « performances et de son autorité pauvres ». Des Sénateurs sont aussi sur le coup et souhaitent auditionner Peiter Zatko, un peu à la manière de Frances Haugen avec Facebook.

Twitter dément tout et attaque Zatko

Interrogé par le Washington Post, Twitter nie évidemment tout en bloc. En plus de tenter de rabaisser le travail de Peiter Zatko, l’entreprise jure que la sécurité est une des priorités maximales. Elle pointe les « inexactitudes » de la plainte et indique que Zatko veut lui « infliger des dégâts de manière opportuniste », sans doute en voyant un lien entre cette sortie publique et le procès qui commencera le 17 octobre. Twitter dit aussi supprimer un million de faux comptes chaque jour, répondant à la fois à Zatko et à Musk.

La lettre envoyée par le patron de Twitter à ses employés. Il dénie tout ce que dit Peiter Zatko.

Pourquoi sortir tout ça publiquement maintenant ? Peiter Zatko explique qu’il s’agit d’une question d’éthique : « Ce n’est pas une décision à prendre à la légère ». En vertu des règles de dénonciation de la SEC, il a droit à une protection juridique contre les représailles, ainsi qu’à des récompenses financières potentielles.

Quid d’Elon Musk, dans tout ça ? Évidemment, le timing interroge. Les avocats d’Elon Musk souhaitaient faire témoigner Peiter Zatko, aux côtés de Jack Dorsey, juste avant que cette affaire soit révélée publiquement. Cette histoire, si elle est fortement médiatisée dans les prochaines semaines, fera clairement les affaires d’Elon Musk. On peut légitimement se poser la question du lien entre ces deux acteurs.