Peiter Zatko, également connu sous le pseudonyme de "Mudge", est apparu sur CNN il y a 20 ans et a mis en évidence les problèmes de sécurité de l'internet. À l'époque, il expliquait déjà comment les grandes entreprises ignoraient systématiquement ces failles de sécurité parce que c'était plus pratique pour elles. En son temps, il a été un pirate informatique bien connu et, jusqu'à récemment, il était le chef de la sécurité chez Twitter. On lui fait d'autant plus confiance en tant que dénonciateur qu'il connaît son métier.
Dans une récente interview accordée à CNN, il parle des failles de sécurité de Twitter. Sa "divulgation" détaillée du 6 juillet 2022, dont les détails ne sont connus que des autorités chargées de l'enquête, ferait état, entre autres, du fait qu'environ la moitié des 10 000 employés de Twitter ont accès à des informations sensibles telles que les comptes d'utilisateurs et les mécanismes de contrôle du géant des médias sociaux. Mudge compare cet accès critique de plusieurs milliers d'employés à l'accès des passagers au cockpit d'un avion. En outre, Twitter n'aurait aucune vue d'ensemble des nombreux bots et n'aurait pas supprimé les données des utilisateurs conformément à la loi.
Mudge est conseillé par John Tye, fondateur de Whistleblower Aid. C'est lui qui a représenté Francis Haugen, le dénonciateur de Facebook. John Tye était lui-même un dénonciateur qui a découvert des activités illégales de la NSA sous l'administration Obama.
Sous le nom de "Mudge", Peiter Zatko gère son compte Twitter, qu'il a créé en 2011. Il compte aujourd'hui 65 000 abonnés.
Nombreux sont ceux qui se demandent pourquoi Mudge a rendu cette information publique juste au moment où Twitter s'apprête à conclure une transaction avec Musk. Pour comprendre, il faut se pencher sur l'histoire. Twitter a connu d'énormes problèmes de fuites de données et de piratage. Entre autres, deux adolescents pirates ont eu accès aux comptes d'utilisateurs de Twitter, y compris à des utilisateurs éminents comme Joe Biden, qui compte plusieurs millions de followers. Imaginez un peu. Si deux adolescents ont pu accéder à des comptes, que pourraient faire les pirates de Poutine, par exemple ?
En 2020, le groupe Twitter a engagé Mudge comme l'un des cinq principaux dirigeants du groupe. Les fuites de données sont censées cesser. Deux ans plus tard, il est licencié pour cause de mauvaises performances. Son avocat, John Tye, affirme que M. Mudge a donné le tuyau avant que l'accord entre Twitter et Musk ne soit rendu public.
Alex Spiro, l'avocat de Musk, affirme qu'il a trouvé étrange le licenciement de Mudge et d'autres employés clés de Twitter à la lumière de ce que lui et son équipe ont découvert et a donc appelé M. Zatko à témoigner.
Mudge lui-même affirme avoir été licencié en janvier 2022 après avoir fait un signalement interne sur les problèmes susmentionnés. Curieusement, le cofondateur et PDG de Twitter, Jack Dorsey, s'est également séparé de l'entreprise en janvier 2022.
Dans l'interview qu'il a accordée à CNN en août, Mudge a déclaré qu'il souhaitait rendre le monde meilleur et plus sûr.
Mudge est-il un héros qui se bat pour la sécurité et la vie privée des gens ou mène-t-il une guerre personnelle contre le géant des médias sociaux ? Pourquoi un pirate informatique qui lutte depuis des décennies contre l'insécurité informatique a-t-il accepté un poste bien rémunéré dans une entreprise comme Twitter ? En tant que responsable de la sécurité, il aurait pu s'attendre à pouvoir toucher à la moelle de l'entreprise, du moins en termes de sécurité. Infiltration parfaite ou travail d'un philanthrope désintéressé ?
Nous restons à l'écoute !
En tant que dénonciateur, il est protégé par plusieurs lois aux États-Unis, telles que la loi Sarbanes-Oxley, la loi Dodd-Frank et la loi du New Jersey sur la protection des employés consciencieux (Conscientious Employee Protection Act). À l'instar de la directive européenne sur la dénonciation, le dénonciateur n'est protégé que si certaines conditions sont remplies. À la suite de la divulgation de violations de la loi et de représailles de la part de l'employeur, le dénonciateur peut intenter une action en justice devant un tribunal de district américain compétent en vertu des lois susmentionnées. L'avocat de Mudge a confirmé aux autorités compétentes, dans la "divulgation" du 6 juillet 2022, que les documents divulgués par M. Zatko étaient soigneusement limités à ceux qui étaient pertinents et "suffisamment nécessaires" pour prouver les violations de la loi par Twitter. En outre, Whistleblower Aid a procédé à des expurgations importantes avant de divulguer des informations internes de Twitter aux forces de l'ordre, et a examiné et filtré les documents en fonction du critère de privilège juridique. Tous les documents n'ont pas non plus été transmis.
Un dénonciateur en Allemagne devrait faire quelque chose de similaire et demander conseil à une organisation comme Whistleblower Aid afin de faire tout ce qu'il faut. Toutefois, la loi sur la protection des dénonciateurs ne prévoit pas de protection pour les personnes morales telles que les organisations à but non lucratif qui soutiennent les dénonciateurs. Nous ne sommes pas les seuls à avoir critiqué cette lacune de la nouvelle loi, plusieurs organisations renommées telles que Transparency International l'ont également fait.
Les médias sociaux ont pris une importance considérable dans le monde numérique. Qu'il s'agisse d'entreprises souhaitant atteindre un public B2B ou B2C, ou de politiciens cherchant à attirer de nouveaux électeurs ou à déclencher un soulèvement, tout se passe en ligne sur les médias sociaux. Nous en avons parlé à plusieurs reprises dans nos blogs. Les plateformes se sont développées très rapidement. Cependant, les structures de contrôle et les mesures de sécurité n'ont pas augmenté proportionnellement. Les lacunes sont souvent utilisées, par exemple, pour diffuser des informations à l'aide de faux comptes et pour permettre à certains utilisateurs de se faire connaître. Certains de ces faux comptes ne sont pas créés manuellement, mais à l'aide de méthodes assistées par l'IA. Par exemple, des photos et des données de profil générées par l'IA sont utilisées pour rendre le profil aussi authentique et attrayant que possible. Pour les plateformes elles-mêmes, le nombre de comptes d'utilisateurs est important. Moins on en sait sur les faux comptes, mieux c'est.
Entre-temps, d'autres plateformes de médias sociaux telles que LinkedIn ont également mis en place des mesures de sécurité supplémentaires contre les faux comptes. Par exemple, elles demandent même des copies de pièces d'identité lors de la création d'un compte, ou les comptes sont bloqués même s'il y a les moindres incohérences. L'algorithme de LinkedIn est particulièrement attentif aux recherches de drapeaux rouges pour certaines origines et nationalités, selon notre expérience. Ce que LinkedIn fait des données personnelles de plus de 800 millions de membres et si les données sont réellement supprimées comme on le prétend est plus que douteux.
Découvrez comment vous pouvez détecter rapidement les fraudes et autres risques et protéger vos employés grâce au système le plus sûr, la Smart Integrity Platform.
DISS-CO® est une entreprise innovante de legal tech avec un fort accent sur l'eGRC et la RegTech. Construite par des enquêteurs expérimentés dans la détection de fraudes et autres violations dans divers secteurs.
