Twitter : des « lacunes extrêmes » en termes de sécurité

Fin 2020, Jack Dorsey, fondateur et à l’époque CEO de Twitter, engage Peiter Zadko, alias Mudge, pionnier de la cybersécurité, l’un des premiers hackers éthiques, comme directeur de la sécurité du réseau social.

En janvier 2022, la nouvelle direction de Twitter, menée par Parag Agrawal, le licencie pour « performances insuffisantes ». Dans une enquête révélée fin août 2022, Peiter Zadko se positionne en lanceur d’alerte, et indique qu’il a transmis au ministère de la Justice US, à la FTC et à la SEC un document de 200 pages listant les « lacunes extrêmes » de Twitter en matière de sécurité.

Il détaille notamment un accès d’un nombre considérable d’employés (la moitié des effectifs, des milliers de personnes) aux fonctions de contrôle les plus critiques du réseau social : un employé du service client peut ainsi effacer le compte Twitter de n’importe qui !

Tous les ingénieurs ont par ailleurs accès en permanence à l’environnement de production de Twitter, sans environnement de développement dédié : toute modification se fait directement en production, sans journalisation des accès ou des actions effectuées, empêchant d’avoir la moindre idée de qui a fait quoi.

C’est également le cas des données personnelles : par exemple, aucun ingénieur de Twitter ne sait précisément ce qu’elles deviennent si un utilisateur décide de les effacer.

Peiter Zadko indique aussi de graves manquements en termes de cybersécurité, Twitter comptant 4 postes de travail sur 10 mal sécurisés : la moitié de ses 500 000 serveurs tournent par ailleurs sur des logiciels obsolètes, sans chiffrement des données au repos ni mises à jour de sécurité, et des capacités de redondance insuffisantes.

Vue la gravité de ces lacunes et leurs potentielles conséquences, plusieurs sénateurs américains ont déclaré qu’ils allaient se saisir de l’affaire.