Twitter la Sécurité, serveurs, les systèmes de sécurité obsolètes
L'ancien chef de la sécurité de Twitter, Peiter Zatko, a fait de graves allégations contre l'entreprise dans une plainte aux autorités de contrôle.
Le hacker, connu sous le nom
de « Mudge », critique la culture de la sécurité chez Twitter et
accuse le réseau social de toujours faire passer le succès économique et la
croissance de l'entreprise avant la sécurité des utilisateurs et la protection
des données.
En tant que dénonciateur,
Zatko a adressé sa plainte à la Securities Exchange Commission (SEC) des
États-Unis, à la Federal Trade Commission (FTC) et au ministère américain de la
Justice en juillet. Une version partiellement expurgée de la plainte pour
les commissions du Congrès américain est disponible au journal Washington Post
de la capitale.
La plainte de Zatko brosse
le tableau d'une entreprise sans direction avec des structures chaotiques, une
guerre de tranchées interne et une culture de sécurité qui ne répond pas aux
exigences des autorités ni au besoin de protection des quelque 230 millions
d'utilisateurs actifs.
Selon le rapport du Washington Post , les comptes rendus
détaillés de Zatko depuis la salle des machines du réseau mondial contredisent
largement ce que la direction de l'entreprise a présenté à son propre conseil
d'administration - et ce que Twitter a expliqué aux régulateurs sur les
avancées dans la sécurisation des données des utilisateurs et la lutte contre le
spam.
L'entreprise pourrait
également avoir enfreint les exigences de la FTC. En 2010, Twitter et
Facebook Twitter a ensuite été soumis à une surveillance plus stricte pendant
dix ans.
Twitter s’engage à améliorer la
confidentialité
La Federal Trade Commission des États-Unis a
condamné jeudi la société Internet à des mesures de sécurité plus strictes
parce que des pirates informatiques avaient pénétré à plusieurs reprises dans
le système.
Le service de microblogging Twitter doit assurer
une meilleure protection des données de ses utilisateurs. La Federal Trade
Commission (FTC) des États-Unis a condamné jeudi la société Internet à des
mesures de sécurité plus strictes parce que des pirates informatiques avaient
pénétré à plusieurs reprises dans le système.
Dans un cas, un attaquant avait piraté le compte
utilisateur du président américain Barack Obama, dans un autre celui de la
chaîne de télévision Fox News. « Si une entreprise promet à ses
utilisateurs que leurs informations personnelles sont sécurisées, elle doit
tenir cette promesse », a déclaré David
Vladeck, représentant de la FTC.
L’autorité a particulièrement critiqué les mots de
passe administrateur trop simples. En conséquence, les pirates ont réussi à
prendre le contrôle de l’ensemble du site Web au début de 2009, a noté la FTC.
L’autorité veut contrôler la mise en œuvre. Jusqu’au 26 juillet 2010.
Twitter souligne qu’il a déjà mis en œuvre la plupart des
exigences de la FTC auparavant.
Le jeune Français, qui avait envahi le compte
d’Obama, avait déclaré qu’il avait simplement collecté des données personnelles
sur les employés de Twitter et en avait déduit leurs mots de passe. Dans un
cas, il a réussi. Le procès contre lui s’est terminé jeudi. Il s’en est tiré
avec sursis.
Twitter n'a pas encore
catégoriquement nié cela. Une porte-parole du Washington Post a déclaré
que les allégations étaient « criblées d'inexactitudes ». L'ancien chef de
la sécurité a été licencié pour « mauvaise performance et manque de leadership »
et se retire maintenant. « La sécurité et la confidentialité sont
depuis longtemps une priorité absolue dans toute l'organisation de Twitter. »
Des comptes de célébrités
piratés
Le PDG et fondateur de
Twitter, Jack Dorsey, qui a depuis démissionné , a recruté Peiter Mudge
Zatko pour renforcer les structures de sécurité du réseau. Auparavant, de
nombreux comptes de VIP people et célébrités avaient étés piratés et utilisés à
mauvais escient pour des tentatives de fraude Bitcoin. Les comptes d'Elon
Musk, Bill Gates et Barack Obama ainsi qu'Apple et Uber ont été touchés.
En conséquence, il est
devenu connu qu'une personne qui prétend avoir eu accès aux fonctions internes
était apparemment impliquée dans le piratage. L'ancien responsable de la sécurité
critique désormais également le fait que trop d'employés aient accès à des
systèmes et des données critiques. Selon le rapport, lorsqu'il a pris ses
fonctions, il a trouvé une entreprise qui n'avait pas fait de progrès
significatifs depuis l'accord avec la FTC.
Avec la démission de Dorsey les
jours de Zatko dans l'entreprise étaient comptés. Début 2022, le nouveau
PDG Parag Agrawal a occupé les postes de chef de la sécurité et de directeur de
l'information (CIO). Zatko a modifié un inventaire pour la dernière fois
en février, est joint à la plainte.
Dans ce document, Zatko
accuse le nouveau PDG, entre autres, d'avoir délibérément induit en erreur le
comité du conseil d'administration mis en place pour l'évaluation des risques
sur la situation sécuritaire et d'y avoir autorisé de fausses
informations. Zatko a soulevé cette question en interne, ce qui a conduit
à une enquête interne qui s'est soldée par son licenciement.
Contrairement à ce qui a été
présenté au conseil d'administration, la situation est beaucoup plus
dramatique. « Twitter fait preuve d'une négligence grave dans
plusieurs domaines de la sécurité de l'information », résume Zatko,
pointant quatre principaux domaines de travail qui ont été refusés au conseil
d'administration : des logiciels obsolètes et mal configurés, des règles
d'accès négligentes pour les données et les systèmes productifs, des processus
internes inadéquats et trop d'incidents de sécurité graves.
Zatko critique le fait que
d'ici la fin de 2021, environ la moitié de tous les employés à temps plein
auraient eu accès aux systèmes et aux données de production.
Le nombre d'employés est
passé de plus de 5 900 à plus de 7 700 au cours de l'année. En 2021, de
plus en plus de personnes auraient eu accès aux zones sécuritaires sensibles.
Selon Zatko, cela est dû au
fait que les processus internes sont inadéquats : les développeurs
travaillent sur le système en direct avec de vraies données client, il n'y a
pas d'environnements de test et de mise en scène. L'accès facile aux données
augmente le risque que d'anciens employés les exploitent. Dans ce
contexte, Zatko parle de 30 licenciements par semaine dans de nouveaux « offboardings »
allemands.
Environ 60% des quelque 500
000 serveurs des centres de données du monde entier exécutent des systèmes
d'exploitation avec des noyaux obsolètes, dont certains ne sont plus pris en
charge, écrit Zatko.
Les logiciels installés sur
les ordinateurs d'environ 10 000 employés sont également obsolètes dans 40 %
des cas et ne reçoivent pas les mises à jour nécessaires.
Le conseil d'administration
a seulement été informé que les ordinateurs étaient équipés d'un logiciel de
sécurité.
Plus tôt dans son mandat,
Zatko a engagé une société de conseil pour évaluer les efforts de Twitter pour
lutter contre la propagande et la désinformation.
La conclusion des
consultants : Twitter souffre de structures internes isolées et d'un manque
d'investissement dans les infrastructures critiques. En raison de la
culture d'entreprise purement réactive, l'entreprise est dans un état de crise
permanent : « En conséquence, Twitter est constamment à la traîne
avec ses mesures contre le faux et la désinformation. »
Commentaires
Enregistrer un commentaire