Twitter met-il en danger la sécurité de ses utilisateurs ?

Publié: 2022-09-03

L'ancien chef de la sécurité de Twitter, Peiter "Mudge" Zatko, a déposé une plainte de lanceur d'alerte auprès de la Securities and Exchange Commission en juillet 2022, accusant la société de plateforme de microblogging de graves failles de sécurité.

Les accusations ont amplifié le drame en cours de la vente potentielle de Twitter à Elon Musk.

Zatko a passé des décennies en tant que hacker éthique, chercheur privé, conseiller gouvernemental et cadre dans certaines des sociétés Internet et des bureaux gouvernementaux les plus importants.

Il est pratiquement une légende dans l'industrie de la cybersécurité. En raison de sa réputation, lorsqu'il parle, les gens et les gouvernements écoutent normalement – ​​ce qui souligne la gravité de sa plainte contre Twitter.

LIRE LA SUITE : Le procès de la FTC expose un risque majeur pour la confidentialité, et c'est la faute de votre téléphone

En tant qu'ancien praticien de l'industrie de la cybersécurité et chercheur actuel en cybersécurité, je pense que les accusations les plus accablantes de Zatko portent sur l'échec présumé de Twitter à avoir un plan de cybersécurité solide pour protéger les données des utilisateurs, déployer des contrôles internes pour se prémunir contre les menaces internes et s'assurer que les systèmes de l'entreprise étaient à jour et correctement mis à jour.

Zatko a également allégué que les dirigeants de Twitter n'étaient pas très ouverts sur les incidents de cybersécurité sur la plate-forme lorsqu'ils ont informé les régulateurs et le conseil d'administration de l'entreprise.

Il a affirmé que Twitter accordait la priorité à la croissance des utilisateurs plutôt qu'à la réduction des spams et autres contenus indésirables qui empoisonnaient la plate-forme et nuisaient à l'expérience utilisateur.

Sa plainte exprimait également des préoccupations concernant les pratiques commerciales de l'entreprise.

Défauts de sécurité allégués

Les allégations de Zatko brossent un tableau inquiétant non seulement de l'état de la cybersécurité de Twitter en tant que plate-forme de médias sociaux, mais également de la conscience de la sécurité de Twitter en tant qu'entreprise.

Ces deux points sont pertinents compte tenu de la position de Twitter dans les communications mondiales et de la lutte en cours contre l'extrémisme et la désinformation en ligne.

La plus importante des allégations de Zatko est peut-être son affirmation selon laquelle près de la moitié des employés de Twitter ont un accès direct aux données des utilisateurs et au code source de Twitter.

Les pratiques de cybersécurité éprouvées ne permettent pas à autant de personnes disposant de ce niveau d'autorisation "racine" ou "privilégié" d'accéder aux systèmes et données sensibles.

Si cela est vrai, cela signifie que Twitter pourrait être exploité soit de l'intérieur, soit par des adversaires extérieurs assistés par des personnes de l'intérieur qui n'ont peut-être pas été correctement contrôlées.

Zatko allègue également que les centres de données de Twitter ne sont peut-être pas aussi sécurisés, résilients ou fiables que l'entreprise le prétend.

Il a estimé que près de la moitié des 500 000 serveurs de Twitter dans le monde manquent de contrôles de sécurité de base tels que l'exécution de logiciels à jour et pris en charge par les fournisseurs ou le cryptage des données utilisateur qui y sont stockées.

Il a également noté que l'absence de plan de continuité des activités robuste de la société signifie que si plusieurs de ses centres de données échouent en raison d'un cyberincident ou d'une autre catastrophe, cela pourrait conduire à un "événement de fin d'entreprise existentielle".

Ce ne sont là que quelques-unes des affirmations faites dans la plainte de Zatko. Si ses allégations sont vraies, Twitter a échoué Cybersécurité 101.

Préoccupations concernant l'ingérence d'un gouvernement étranger

logo twitter sur fond flou
Image : KnowTechie

Les allégations de Zatko pourraient également présenter un problème de sécurité nationale.

Twitter a été utilisé pour diffuser de la désinformation et de la propagande ces dernières années lors d'événements mondiaux comme la pandémie et les élections nationales.

Par exemple, le rapport de Zatko a déclaré que le gouvernement indien a forcé Twitter à embaucher des agents du gouvernement, qui auraient accès à de grandes quantités de données sensibles de Twitter.

En réponse, le voisin parfois hostile de l'Inde, le Pakistan, a accusé l'Inde d'essayer d'infiltrer le système de sécurité de Twitter "dans le but de restreindre les libertés fondamentales".

Compte tenu de l'empreinte mondiale de Twitter en tant que plate-forme de communication, d'autres pays tels que la Russie et la Chine pourraient exiger que l'entreprise embauche ses propres agents gouvernementaux comme condition pour permettre à l'entreprise d'opérer dans leur pays.

Les allégations de Zatko concernant la sécurité interne de Twitter soulèvent la possibilité que des criminels, des militants, des gouvernements hostiles ou leurs partisans cherchant à exploiter les systèmes et les données des utilisateurs de Twitter en recrutant ou en faisant chanter ses employés pourraient bien présenter un problème de sécurité nationale.

Pire encore, les propres informations de Twitter sur ses utilisateurs, leurs intérêts et les personnes qu'ils suivent et avec qui ils interagissent sur la plate-forme pourraient faciliter le ciblage de campagnes de désinformation, de chantage ou d'autres fins néfastes.

Un tel ciblage étranger d'entreprises importantes et de leurs employés est une préoccupation majeure du contre-espionnage dans la communauté de la sécurité nationale depuis des décennies.

Tomber

logo twitter à l'écran avec tweetdeck
Image : Terre de commercialisation

Quel que soit le résultat de la plainte de Zatko au Congrès, à la SEC ou à d'autres agences fédérales, cela fait déjà partie des derniers documents juridiques déposés par Musk alors qu'il tente de se retirer de son achat de Twitter.

Idéalement, à la lumière de ces divulgations, Twitter prendra des mesures correctives pour améliorer les systèmes et les pratiques de cybersécurité de l'entreprise.

Une bonne première étape que l'entreprise pourrait prendre consiste à examiner et à limiter au minimum nécessaire l'accès root à ses systèmes, son code source et ses données utilisateur.

L'entreprise doit également s'assurer que ses systèmes de production sont maintenus à jour et qu'elle est efficacement préparée à faire face à tout type de situation d'urgence sans perturber de manière significative ses opérations mondiales.

D'un point de vue plus large, la plainte de Zatko souligne le rôle critique et parfois inconfortable que joue la cybersécurité dans les organisations modernes.

Les professionnels de la cybersécurité comme Zatko comprennent qu'aucune entreprise ou agence gouvernementale n'aime la publicité pour les problèmes de cybersécurité.

Ils ont tendance à réfléchir longuement et sérieusement à la question de savoir si et comment soulever des problèmes de cybersécurité comme ceux-ci - et quelles pourraient en être les ramifications potentielles.

Dans ce cas, Zatko dit que ses révélations reflètent "le travail pour lequel il a été embauché" en tant que responsable de la sécurité d'une plate-forme de médias sociaux qui, selon lui, "est essentiel à la démocratie".

Pour des entreprises comme Twitter, les mauvaises nouvelles sur la cybersécurité se traduisent souvent par un cauchemar de relations publiques qui pourrait affecter le cours des actions et leur position sur le marché, sans parler d'attirer l'intérêt des régulateurs et des législateurs.

Pour les gouvernements, de telles révélations peuvent conduire à un manque de confiance dans les institutions créées pour servir la société, en plus de créer potentiellement un bruit politique distrayant.

Malheureusement, la façon dont les problèmes de cybersécurité sont découverts, divulgués et traités reste un processus difficile et parfois controversé, sans solution facile tant pour les professionnels de la cybersécurité que pour les organisations d'aujourd'hui.

Avez-vous des idées à ce sujet? Portez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

  • Instagram et Facebook vous suivent sur d'autres sites Web - voici comment
  • Que sont les mises à jour de voiture en direct (OTA) ?
  • Voici pourquoi tout le monde déteste ces notifications de cookies ennuyeuses
  • L'iPhone fête ses 15 ans : un regard sur le passé, le présent et l'avenir de l'appareil

Note de l'éditeur : cet article a été rédigé par Richard Forno, maître de conférences en informatique et génie électrique, Université du Maryland, comté de Baltimore , et republié à partir de The Conversation sous une licence Creative Commons. Lire l'article d'origine.