Peiter Zatko a longuement témoigné ce 13 septembre devant la commission judiciaire du Sénat américain. L’ancien chef de la sécurité de Twitter a insisté sur la gestion, ou plutôt l’absence de gestion des données personnelles des utilisateurs du réseau social et les dangers qui en découlent. Il a aussi mentionné les lacunes des autorités de régulations américaines désarmées face aux géants du web. Pendant ce temps Elon Musk a sorti le popcorn.

Tous les ingénieurs de Twitter pourraient avoir accès à ses données internes

Dans son propos liminaire Peiter Zatko, a affirmé qu’il ne s’était pas donné pour mission de nuire à Twitter. Au contraire il a déclaré être attaché à son succès, « Mais ce succès n'est possible que si la vie privée et la sécurité des utilisateurs de Twitter et du public sont protégées », a-t-il ajouté.

Selon lui, à l’heure actuelle, la direction exécutive du réseau social privilégie les profits à la sécurité de ses usagers. Une phrase qui n’est pas sans rappeler les propos de Frances Haugen, lors de ses propres révélations, cette fois contre Facebook, son ex-employeur, il y a un an. Pour Peiter Zatko « Il est difficile de faire comprendre quelque chose à quelqu'un lorsque son salaire dépend de son incompréhension ». Il juge, en revanche, que les membres du Conseil d’administration et notamment Jack Dorsey n’étaient pas au courant de la situation « avant cette audience ».

Le point sur lequel a tenu à appuyer immédiatement le lanceur d’alerte, cerné par les photographes, est l’incapacité de Twitter à localiser ses propres données. Selon lui, une étude interne a déterminé que l’entreprise ne savait pourquoi elle avait certaines données, comment elle les avait obtenues et quand elle devait les supprimer, que dans 20 % des cas.

De nombreux sénateurs se sont succédé pour échanger avec le lanceur d'alerte. Capture d'écran : Sénat américain

Toujours en guise d’introduction, il a expliqué que la moitié des employés de Twitter étaient des ingénieurs et qu’ils pouvaient tous, théoriquement, accéder aux informations personnelles des utilisateurs. Il a énuméré à plusieurs reprises le type d’informations concernées, numéro de téléphone, les IP des appareils depuis lesquels il y a eu une connexion, l’adresse mail, la localisation d’accès, le type d’appareils et de navigateurs utilisés, la langue utilisée.

Peiter Zatko a confirmé qu’un ingénieur de Twitter avait théoriquement les moyens d’avoir accès aux comptes et informations des sénateurs présents dans la salle. Il a toutefois précisé qu’il n’avait pas assisté à un pareil scénario lors de son passage au sein de l’entreprise, de novembre 2020 à janvier 2022.

Naturellement, les sénateurs ont posé de nombreuses questions sur les risques que cela représentait pour les individus et surtout la sécurité nationale. Au mois d’août, un ancien employé de Twitter a été condamné pour avoir espionné des utilisateurs au nom de l’Arabie saoudite. Dick Durbin et Chuck Grassley, les deux sénateurs en charge de l’audition, ont rappelé l’affaire et ajouté que deux agents indiens ont pu être placés au sein de Twitter. Le FBI aurait également averti l’entreprise de la présence potentielle d’au moins un agent chinois parmi ses rangs.

Pour Peiter Zatko, Twitter est une « mine d’or » pour des services de renseignements à cause de sa légèreté. Il rapporte que le sujet intéressait peu sa direction, si elle n’était pas mise sous pression par un acteur extérieur. Il estime également que l’entreprise n’est pas armée pour répondre à des utilisations indues de ses données par ses propres salariés, « des milliers de tentatives d'accès aux systèmes internes échouaient chaque semaine sans que personne ne s'en aperçoive ». Il affirme que Twitter a dix ans de retard sur sa sécurité interne.

La CNIL terrifiante, la FTC dépassée

Face à ces révélations, les sénateurs ont pris en grippe la Federal Trade Commission (FTC), incapable d’agir pour remettre Twitter dans le droit chemin. Dès le début de l’audition, Chuck Grassley s’est dit préoccupé que l’agence n’ait pas bougé pendant près d’une décennie. Peiter Zatko a assuré que si la direction du réseau social était « terrifiée » par la Commission nationale de l’informatique et des libertés, en France, la FTC ne suscitait que peu d’inquiétudes.

Il a développé que l’agence américaine menaçait Twitter, au pire, d’une sanction financière. La CNIL, elle, serait en mesure de s’en prendre plus agressivement à l’activité de l’entreprise en France. Il a complété que les contrôles aux États-Unis étaient beaucoup plus souples, basé sur le déclaratif, alors qu’à l’étranger ces enquêtes étaient plus poussées, avec des demandes de données et autres études de marché. Le lanceur d’alerte a toutefois été plus tendre que les sénateurs. Il a répété que l’agence était sous-dimensionnée pour agir, « dépassée par les événements ».

Plusieurs élus ont profité de l’occasion pour défendre leurs propres projets législatifs. Amy Klobuchar, figure démocrate pour l’encadrement des entreprises de la Tech, a appelé le Congrès à se « regarder dans un miroir ». L’un de ses projets visant à offrir plus de financements à la FTC est au point mort.

Dans un rare moment de légèreté, après plus de deux heures de témoignages, le sénateur Lindsey Graham a demandé à Peiter Zatko s’il rachèterait Twitter, s’il en avait les moyens. Ce dernier, qui venait de rappeler le formidable outil que représentait le réseau social à condition qu'il soit surveillé, a répondu, après un rire, « j’imagine que cela dépend du prix ». Elon Musk a dû s'amuser, même si la question des bots n'a pas été abordée.