Peiter Zatko, le hacker et lanceur d'alerte qui fait trembler Twitter
Ancien responsable de la cybersécurité de Twitter, le hacker Peiter Zatko, alias « Mudge », devenu lanceur d'alerte, explique les défaillances de sécurité du réseau dans une plainte qu’il a déposée au Congrès et aux agences fédérales contre Twitter.
Que contient la plainte de M. Zatko ?
Dans un document de 84 pages adressé en juillet au Congrès américain, aux agences fédérales, mais également à la Security and Exchange Commission (SEC), qui est le régulateur des marchés financiers, Peiter Zatko, chargé de la sécurité informatique chez Twitter, fait état de toutes les lacunes qui fragilisent la structure informatique du service : des serveurs et des logiciels obsolètes, donnant la possibilité aux pirates et aux espions d’agir facilement, rendant le réseau vulnérable à de possibles attaques informatiques.
M. Zatko, qui travaillait directement avec le PDG Jack Dorsey, puis son remplaçant Parag Agrawal, a décrit une gestion déficiente qui aurait donné la priorité à la croissance, au détriment de la lutte contre les faux comptes et les spams.
Pointant tous les dangers du management de l’entreprise, Peiter Zatko affirme par ailleurs qu’il y aurait des milliers d'employés ayant accès aux contrôles centraux et aux informations les plus sensibles, laissés sans aucune surveillance appropriée. Selon lui, il y aurait au sein de l’entreprise des employés qui travailleraient comme espion pour des services de renseignements étrangers.
Parmi les allégations les plus graves, M. Zatko a accusé Twitter de mentir aux régulateurs au sujet de ses failles de sécurité, qui constitueraient « des menaces pour la sécurité nationale et pour la démocratie » et qui seraient en violation d'un accord conclu onze ans auparavant avec la Federal Trade Commission.
Qui est Peiter Zatko, l’expert en cybersécurité devenu lanceur d’alerte ?
Lorsque « Mudge » est embauché par Twitter en novembre 2020, l'entreprise vient de subir l’attaque la plus grave de son histoire. Twitter a été mis à mal par un très jeune hacker qui a réussi à infiltrer le réseau pour prendre le contrôle de centaines de comptes qui cumulaient des centaines de milliers d’abonnés, détournant notamment les comptes de Barack Obama, Joe Biden, Warren Buffett ou encore Elon Musk. Le but de ce hacker était d’escroquer les utilisateurs en leur demandant d’envoyer des bitcoins.
Après cette affaire, qui avait quelque peu entaché l’image de Twitter, le dirigeant de l’époque, Jack Dorsey, avait besoin d’un homme fort dans la cybersécurité pour reprendre le contrôle du réseau et le protéger de ces attaques informatiques. C’est à cette époque qu'il décide de faire appel à Peiter Zatko, l’un des meilleurs experts en cybersécurité du pays, comme l’ont unanimement écrit les journalistes au moment de sa nomination.
Présenté comme le sauveur de Twitter, Peiter Zatko, 50 ans, est reconnu depuis longtemps dans le domaine du web. Adolescent, ce natif de l’Alabama faisait sauter les verrous destinés à contrôler l’accès aux jeux électroniques. Durant ces années, il met au point des outils informatiques comme LOphtCrack, pour pirater les mots de passe, et intègre LOpht, le tout premier collectif de hackers "éthiques" de l’histoire des États-Unis. En 1995, paraît un ouvrage dans lequel il explique comment pirater Windows. En 1998, invité par le sénateur Fred Thompson à témoigner devant le Sénat américain des faiblesses du web, il déclare devant une assemblée ébahie qu’il lui est possible de paralyser tout le réseau internet en l’espace d’une demi-heure. Déjà à l'époque, les autorités américaines commencent à craindre des attaques menaçant la sécurité du pays. Cependant, « Mudge » est un hacker qui a décidé de se mettre au service du bien commun. Il se donne pour but de servir son pays en protégeant notamment les lieux stratégiques d’éventuelles attaques malveillantes ou terroristes.
Après cette intervention, il est régulièrement sollicité et donne des cours des sécurités au sein d'agence stratégiques comme la Nasa. Au début des années 2000, le président Bill Clinton fait appel à lui pour résoudre les premières attaques informatiques qui frappent les entreprises américaines.
En 2010, il intègre le département de cybersécurité du département de la Défense (Defense Advanced Research Projects Agency ou DARPA). En 2013, pour ces services rendus exceptionnels en matière de sécurité informatique, l’administration américaine lui décerne la médaille du bureau du secrétaire à la Défense, soit la plus haute récompense civile du ministère de la Défense.
Après une expérience chez Google, Peiter Zatko est embauché par Twitter. Un passage de courte durée, à peine 15 mois, de novembre 2020 à janvier 2022.
Des allégations qui font écho aux accusations d’Elon Musk
Avec ce rapport sur les manquements de Twitter dans la sécurité informatique, les déclarations de Peiter Zatko font écho aux raisons invoquées par Elon Musk pour tenter de se retirer du rachat, même si l'équipe juridique de M. Zatko affirme qu'il n'a pas été en contact avec Elon Musk et qu'il a entamé la procédure de dénonciation avant que l'intérêt de Musk pour le rachat ne soit manifeste.
De son côté, Elon Musk a répondu aux allégations de M. Zatko par plusieurs tweets équivoques, le mardi 23 août. L'un de ces tweets représente le personnage de dessin animé de Disney Jiminy Cricket avec la citation « donne un petit coup de sifflet ».
Il a également cité l'article du Washington Post pour accuser le conseil d'administration de Twitter de tromperie, écrivant que « la prévalence du spam était partagée avec le conseil d'administration, mais celui-ci a choisi de ne pas le divulguer au public ».
— Elon Musk (@elonmusk) August 23, 2022
Finalement, ce document sur les vulnérabilités de Twitter tombe à pic pour le patron de Tesla, qui, après avoir envisagé un temps de racheter Twitter, s’est ravisé, accusant le réseau social de minimiser la proportion de faux comptes et de spams. Sans attendre, les avocats d'Elon Musk ont déjà assigné Peiter Zatko à comparaître au procès qui doit s’ouvrir en octobre prochain.
Lire aussi : Elon Musk va pouvoir mener sa propre analyse sur les faux comptes Twitter
À LIRE AUSSI
L'article vous a plu ? Il a mobilisé notre rédaction qui ne vit que de vos dons.
L'information a un coût, d'autant plus que la concurrence des rédactions subventionnées impose un surcroît de rigueur et de professionnalisme.
Avec votre soutien, France-Soir continuera à proposer ses articles gratuitement car nous pensons que tout le monde doit avoir accès à une information libre et indépendante pour se forger sa propre opinion.
Vous êtes la condition sine qua non à notre existence, soutenez-nous pour que France-Soir demeure le média français qui fait s’exprimer les plus légitimes.
Si vous le pouvez, soutenez-nous mensuellement, à partir de seulement 1€. Votre impact en faveur d’une presse libre n’en sera que plus fort. Merci.