Twitter la Sécurité, serveurs, les systèmes de sécurité obsolètes


L'ancien chef de la sécurité de Twitter, Peiter Zatko, a fait de graves allégations contre l'entreprise dans une plainte aux autorités de contrôle. 

Le hacker, connu sous le nom de « Mudge », critique la culture de la sécurité chez Twitter et accuse le réseau social de toujours faire passer le succès économique et la croissance de l'entreprise avant la sécurité des utilisateurs et la protection des données.

En tant que dénonciateur, Zatko a adressé sa plainte à la Securities Exchange Commission (SEC) des États-Unis, à la Federal Trade Commission (FTC) et au ministère américain de la Justice en juillet. Une version partiellement expurgée de la plainte pour les commissions du Congrès américain est disponible au journal Washington Post de la capitale.

 

La plainte de Zatko brosse le tableau d'une entreprise sans direction avec des structures chaotiques, une guerre de tranchées interne et une culture de sécurité qui ne répond pas aux exigences des autorités ni au besoin de protection des quelque 230 millions d'utilisateurs actifs.

Selon le rapport du Washington Post , les comptes rendus détaillés de Zatko depuis la salle des machines du réseau mondial contredisent largement ce que la direction de l'entreprise a présenté à son propre conseil d'administration - et ce que Twitter a expliqué aux régulateurs sur les avancées dans la sécurisation des données des utilisateurs et la lutte contre le spam.

L'entreprise pourrait également avoir enfreint les exigences de la FTC. En 2010, Twitter et Facebook  Twitter a ensuite été soumis à une surveillance plus stricte pendant dix ans. 

 Twitter s’engage à améliorer la confidentialité

La Federal Trade Commission des États-Unis a condamné jeudi la société Internet à des mesures de sécurité plus strictes parce que des pirates informatiques avaient pénétré à plusieurs reprises dans le système.

Le service de microblogging Twitter doit assurer une meilleure protection des données de ses utilisateurs. La Federal Trade Commission (FTC) des États-Unis a condamné jeudi la société Internet à des mesures de sécurité plus strictes parce que des pirates informatiques avaient pénétré à plusieurs reprises dans le système.

Dans un cas, un attaquant avait piraté le compte utilisateur du président américain Barack Obama, dans un autre celui de la chaîne de télévision Fox News. « Si une entreprise promet à ses utilisateurs que leurs informations personnelles sont sécurisées, elle doit tenir cette promesse », a déclaré David Vladeck, représentant de la FTC.

L’autorité a particulièrement critiqué les mots de passe administrateur trop simples. En conséquence, les pirates ont réussi à prendre le contrôle de l’ensemble du site Web au début de 2009, a noté la FTC. L’autorité veut contrôler la mise en œuvre. Jusqu’au 26 juillet 2010. Twitter souligne qu’il a déjà mis en œuvre la plupart des exigences de la FTC auparavant.

Le jeune Français, qui avait envahi le compte d’Obama, avait déclaré qu’il avait simplement collecté des données personnelles sur les employés de Twitter et en avait déduit leurs mots de passe. Dans un cas, il a réussi. Le procès contre lui s’est terminé jeudi. Il s’en est tiré avec sursis.

Twitter n'a pas encore catégoriquement nié cela. Une porte-parole du Washington Post a déclaré que les allégations étaient « criblées d'inexactitudes ». L'ancien chef de la sécurité a été licencié pour « mauvaise performance et manque de leadership » et se retire maintenant. « La sécurité et la confidentialité sont depuis longtemps une priorité absolue dans toute l'organisation de Twitter. »

Des comptes de célébrités piratés

Le PDG et fondateur de Twitter, Jack Dorsey, qui a depuis démissionné , a recruté Peiter Mudge Zatko pour renforcer les structures de sécurité du réseau. Auparavant, de nombreux comptes de VIP people et célébrités avaient étés piratés et utilisés à mauvais escient pour des tentatives de fraude Bitcoin. Les comptes d'Elon Musk, Bill Gates et Barack Obama ainsi qu'Apple et Uber ont été touchés.

En conséquence, il est devenu connu qu'une personne qui prétend avoir eu accès aux fonctions internes était apparemment impliquée dans le piratage. L'ancien responsable de la sécurité critique désormais également le fait que trop d'employés aient accès à des systèmes et des données critiques. Selon le rapport, lorsqu'il a pris ses fonctions, il a trouvé une entreprise qui n'avait pas fait de progrès significatifs depuis l'accord avec la FTC.

Avec la démission de Dorsey les jours de Zatko dans l'entreprise étaient comptés. Début 2022, le nouveau PDG Parag Agrawal a occupé les postes de chef de la sécurité et de directeur de l'information (CIO).  Zatko a modifié un inventaire pour la dernière fois en février, est joint à la plainte.

Dans ce document, Zatko accuse le nouveau PDG, entre autres, d'avoir délibérément induit en erreur le comité du conseil d'administration mis en place pour l'évaluation des risques sur la situation sécuritaire et d'y avoir autorisé de fausses informations. Zatko a soulevé cette question en interne, ce qui a conduit à une enquête interne qui s'est soldée par son licenciement.

Contrairement à ce qui a été présenté au conseil d'administration, la situation est beaucoup plus dramatique. « Twitter fait preuve d'une négligence grave dans plusieurs domaines de la sécurité de l'information », résume Zatko, pointant quatre principaux domaines de travail qui ont été refusés au conseil d'administration : des logiciels obsolètes et mal configurés, des règles d'accès négligentes pour les données et les systèmes productifs, des processus internes inadéquats et trop d'incidents de sécurité graves.

Zatko critique le fait que d'ici la fin de 2021, environ la moitié de tous les employés à temps plein auraient eu accès aux systèmes et aux données de production. 

Le nombre d'employés est passé de plus de 5 900 à plus de 7 700 au cours de l'année. En 2021, de plus en plus de personnes auraient eu accès aux zones sécuritaires sensibles.

Selon Zatko, cela est dû au fait que les processus internes sont inadéquats : les développeurs travaillent sur le système en direct avec de vraies données client, il n'y a pas d'environnements de test et de mise en scène. L'accès facile aux données augmente le risque que d'anciens employés les exploitent. Dans ce contexte, Zatko parle de 30 licenciements par semaine dans de nouveaux « offboardings » allemands.

Environ 60% des quelque 500 000 serveurs des centres de données du monde entier exécutent des systèmes d'exploitation avec des noyaux obsolètes, dont certains ne sont plus pris en charge, écrit Zatko. 

Les logiciels installés sur les ordinateurs d'environ 10 000 employés sont également obsolètes dans 40 % des cas et ne reçoivent pas les mises à jour nécessaires. 

Le conseil d'administration a seulement été informé que les ordinateurs étaient équipés d'un logiciel de sécurité.

Plus tôt dans son mandat, Zatko a engagé une société de conseil pour évaluer les efforts de Twitter pour lutter contre la propagande et la désinformation. 

La conclusion des consultants : Twitter souffre de structures internes isolées et d'un manque d'investissement dans les infrastructures critiques. En raison de la culture d'entreprise purement réactive, l'entreprise est dans un état de crise permanent : « En conséquence, Twitter est constamment à la traîne avec ses mesures contre le faux et la désinformation. »

 

Commentaires

Posts les plus consultés de ce blog

Harris à Paris pour donner un coup d'éclat à la cmpagne 2022 de Macron,

Charlie Arturaola le meilleur communicateur du Vin du Monde à Venise