lundi, mai 20, 2024

ThePressFree

Blog d'actualité

People 

Comment un hackeur de célébrités de 51 ans a bouleversé l’un des réseaux sociaux les plus influents au monde

ThePressFree Aucun commentaire



New York
CNN Affaires

Lorsque Peiter Zatko a rejoint Twitter en tant que responsable de la sécurité fin 2020 à la demande du fondateur et alors PDG Jack Dorsey, il a été surpris par ce qu’il a découvert. Twitter, un réseau social avec des centaines de millions d’utilisateurs, « avait plus d’une décennie de retard sur les normes de sécurité de l’industrie », a-t-il témoigné plus tard.

À peine un an plus tard, Zatko faisait campagne pour que les hauts dirigeants de Twitter s’attaquent à ce qu’il a décrit comme « une bombe à retardement de vulnérabilités de sécurité » et fournissent un compte rendu complet de ses lacunes à son conseil d’administration.

Ses inquiétudes, d’abord soulevées en privé, puis dans une dénonciation devenue publique, bouleverseraient l’un des réseaux sociaux les plus influents au monde et soulèveraient de nouvelles questions sur son acquisition imminente par l’homme le plus riche du monde, Elon Musk. Cela mettrait également, a-t-il témoigné plus tard, sa carrière et sa famille en danger.

Dans sa divulgation déposée auprès de diverses agences gouvernementales américaines en juillet, Zatko a allégué que Twitter (TWTR) faisait confiance à beaucoup trop d’employés ayant accès aux données sensibles des utilisateurs, créant une posture de sécurité fragile qu’un étranger pourrait exploiter pour faire des ravages sur la plate-forme. La divulgation affirmait également qu’un ou plusieurs employés actuels de Twitter (TWTR) pourraient travailler pour un service de renseignement étranger, menaçant potentiellement les données des utilisateurs et la sécurité nationale des États-Unis, et que le PDG de Twitter (TWTR), Parag Agrawal, avait trompé le conseil d’administration de l’entreprise en décourageant Zatko. de fournir un compte rendu complet des faiblesses de sécurité de Twitter (TWTR). (Twitter (TWTR) a critiqué Zatko et s’est largement défendu contre les allégations.)

« Compte tenu du préjudice réel causé aux utilisateurs et à la sécurité nationale, j’ai déterminé qu’il était nécessaire de prendre le risque personnel et professionnel pour moi-même et pour ma famille de devenir un lanceur d’alerte », a déclaré Zatko, mieux connu sous le nom de « Mudge » dans les cercles de la cybersécurité et très apprécié. dans cette communauté, a déclaré lors d’une audience au Sénat sur sa divulgation en septembre. « Je n’ai pas fait ma dénonciation par dépit ou pour nuire à Twitter, loin de là, je continue à croire en la mission de l’entreprise et à la racine de son succès. »

Depuis qu’il a rendu public ses préoccupations, Zatko, qui a occupé de nombreux postes dans les secteurs privé et public, s’est retrouvé au centre d’un examen renouvelé de Twitter. Il a témoigné le mois dernier devant un comité sénatorial au sujet de sa divulgation, et ses allégations ont attiré l’attention de divers régulateurs aux États-Unis et à l’étranger. Pendant ce temps, ses anciens collègues ont reçu des demandes d’interviews rémunérées de sociétés de recherche cherchant apparemment des informations, et potentiellement de la saleté, sur Zatko, selon un rapport du mois dernier du New Yorker.

Zatko témoignant devant le Comité judiciaire du Sénat en septembre.

La divulgation a également coïncidé avec, et est finalement devenue une partie de, la lutte de Musk pour sortir de son accord de 44 milliards de dollars pour acheter Twitter. Zatko a été déposé par l’équipe de Musk et le milliardaire a été autorisé à ajouter certaines des allégations de Zatko à son argument pour mettre fin à l’accord. Bien qu’il semble maintenant que Musk veuille aller de l’avant avec l’acquisition, le moment des allégations de Zatko a suscité des questions sur ses motivations. (Zatko nie toute relation avec Musk et affirme que sa décision de rendre publique n’était pas liée à l’accord; l’équipe juridique de Musk dit qu’elle n’était pas au courant de la divulgation jusqu’à ce qu’elle soit rendue publique.)

Twitter a repoussé les allégations de Zatko, affirmant que la sécurité et la confidentialité étaient « depuis longtemps les principales priorités de l’entreprise ». Twitter a déclaré que sa divulgation était « criblée d’incohérences et d’inexactitudes », et a déclaré qu’elle dépeint un « faux récit » de l’entreprise. Twitter a également tenté de dépeindre Zatko comme un ancien employé mécontent avec une hache à broyer contre l’entreprise.

Mais certains de ceux qui ont travaillé aux côtés de Zatko au cours des trois dernières décennies le décrivent comme un technologue de principe avec un don pour rendre le complexe accessible et un désir sincère de résoudre les problèmes, comme il l’a fait pendant une grande partie de sa carrière. La décision de dénoncer, disent-ils, est conforme à cette approche.

« Il ne fait pas ça pour s’amuser. Cela ne lui rapporte rien », a déclaré Dave Aitel, ancien informaticien à la National Security Agency et collègue de Zatko au cabinet de conseil en cybersécurité @stake. « C’est en fait à quoi ressemble l’intégrité quand vous devez la voir de près. »

En raison de ses activités de lanceur d’alerte, Zatko pourrait être éligible à une récompense monétaire du gouvernement américain. John Tye, fondateur de Whistleblower Aid et avocat de Zatko, a précédemment déclaré à CNN que « la perspective d’une récompense n’était pas un facteur dans [Zatko’s] décision. »

Il y a près de 25 ans, en tant que jeune programmeur informatique aux cheveux beaucoup plus longs, Zatko a déclaré au Congrès qu’Internet était terriblement précaire. Une grande partie du problème, a déclaré Zatko à un panel du Sénat, était que les sociétés de logiciels et de commerce électronique «veulent ignorer les problèmes aussi longtemps que possible. C’est moins cher pour eux. »

Plusieurs années plus tôt, Zatko avait rejoint le collectif de piratage de la région de Boston connu sous le nom de L0pht, selon « The Cult of the Dead Cow », le livre du journaliste du Washington Post Joseph Menn sur la façon dont la scène du piratage a façonné l’industrie de la cybersécurité.

Les membres de L0pht ont fait irruption dans les systèmes informatiques et ont ensuite travaillé avec des entreprises qui ont fabriqué l’équipement pour résoudre les problèmes. Bien que ce soit désormais une pratique bien établie pour les entreprises de travailler avec des chercheurs externes pour corriger les failles logicielles, cela était, à l’époque, considéré comme provocateur et bouleversant pour les géants du logiciel.

Zatko « a en quelque sorte plié l’industrie à sa volonté », a déclaré à CNN Dug Song, directeur de la stratégie chez Cisco Security, qui connaît Zatko depuis les années 1990. « L0pht a créé un modèle pour savoir comment faire cela d’une manière qui était, franchement, respectable et honorable. »

Zatko faisait partie d'un groupe de pirates qui ont participé à la première audience du Sénat sur la sécurité informatique du gouvernement en mai 1998.

Cris « Space Rogue » Thomas, un autre ancien membre de L0pht qui a témoigné aux côtés de Zatko ce jour-là, a déclaré que L0pht ferait tout son possible pour amener les entreprises à résoudre en collaboration les problèmes logiciels découverts par le groupe de pirates.

Thomas, qui, comme Zatko, utilise son nom de hacker de manière professionnelle, a déclaré à CNN en août que lui et Zatko « avaient eu nos différends dans le passé », ajoutant qu’il avait été renvoyé de @stake, le cabinet de conseil en cybersécurité où Zatko était scientifique en chef, en 2000. « Les sentiments ont été blessés, mais cela ne change pas le fait de savoir qui [Zatko] est et ce en quoi il croit et ce qu’il fait. Je pense donc toujours que ses normes morales n’ont pas vraiment changé… depuis 30 ans que je le connais.

Au cours des années suivantes, Zatko, aujourd’hui âgé de 51 ans, a dirigé un programme influent de subventions en matière de cybersécurité au Pentagone, a travaillé dans une division de Google pour développer une technologie de pointe, a aidé à constituer l’équipe de cybersécurité de la société fintech Stripe et a conseillé les législateurs et les responsables américains sur la façon dont pour combler les failles de sécurité sur Internet.

Sa carrière a montré que « le piratage ne se limitait pas à se surpasser, qu’il y avait en fait un bien social et un impact que vous pourriez avoir », a déclaré Song.

Twitter a embauché Zatko en novembre 2020 pour renforcer la cybersécurité et la confidentialité de l’entreprise à la suite d’un piratage très médiatisé, prétendument dirigé par un adolescent de Floride, en juillet 2020 qui a compromis les comptes Twitter de certaines des personnes les plus célèbres de la planète. , y compris le candidat présidentiel de l’époque, Joe Biden. Le rôle de cadre supérieur signifiait que Zatko relevait directement de Dorsey, selon la divulgation.

Lorsqu’il a été embauché pour rejoindre Twitter, Zatko a défini cette décision en termes de bien public. « Je crois vraiment en la mission de servir (équitablement) la conversation publique », a-t-il tweeté à l’époque. « Je ferai de mon mieux! »

Zatko, vu ici posant pour un portrait en août, a été embauché chez Twitter en novembre 2020 pour aider à améliorer la cybersécurité et la confidentialité au sein de l'entreprise.

Mais Zatko a rapidement constaté que remplir cette mission sur Twitter serait difficile. Sa divulgation allègue que des problèmes structurels et des incitations mal alignées ont empêché Twitter de résoudre bon nombre de ses plus gros problèmes, notamment la protection adéquate des données des utilisateurs, la lutte contre la manipulation étrangère de la plate-forme et la garantie de la sécurité de l’infrastructure physique soutenant l’entreprise.

Agrawal – le successeur de Dorsey en tant que chef de Twitter et ancien directeur technique qui avait supervisé une grande partie du développement technique récent de l’entreprise – a licencié Zatko en janvier après avoir commencé à soulever des inquiétudes concernant les pratiques de sécurité et de confidentialité de l’entreprise, y compris des inquiétudes quant au fait que de fausses déclarations présumées par des dirigeants à son conseil d’administration pourraient constituer une fraude, indique la divulgation. (Twitter maintient qu’une enquête interne a déterminé que les allégations de fraude de Zatko n’étaient pas fondées et qu’il a renvoyé Zatko pour mauvaise performance; Zatko dit que son licenciement était une représailles pour avoir parlé.)

« Il s’agit de quelque chose dont tout le monde devrait se soucier avec les grandes entreprises, à savoir l’honnêteté et la véracité des données qui sont… représentées publiquement, les implications pour la sécurité nationale et la possibilité pour les utilisateurs de faire confiance à leurs données avec ces organisations », a déclaré Zatko à CNN dans août de sa décision de déposer la divulgation.

Maintenant, alors qu’il s’attaque publiquement à Twitter, Zatko se retrouve dans la conversation publique comme jamais auparavant.

« Ce n’était pas mon premier choix », avait-il précédemment déclaré à CNN. « J’ai épuisé toutes les options internes. »

«Mais j’ai découvert que, sur le plan éthique et avec qui je suis, j’étais obligé de suivre la loi et de poursuivre par des voies légales, la divulgation légale, parce que [Twitter] est une plate-forme d’une importance cruciale », a déclaré Zatko. « Je pense qu’il est important de relever certains de ces défis. Je crois honnêtement que je suis toujours en train de faire la mission pour laquelle j’ai été amené à faire.



Laisser un commentaire