Peiter « Mudge » Zatko, le lanceur d'alerte de Twitter

Quand Twitter a embauché Peiter "Mudge" Zatko en tant que chef de la sécurité en novembre 2020, l'entreprise se remettait encore d'une tentative de piratage : un petit groupe d'attaquants avait pris le contrôle des comptes vérifiés de Barack Obama, Joe Biden, Elon Musk et Apple pour promouvoir une arnaque au Bitcoin. Le conseil d'administration voulait une personne sérieuse en matière de sécurité, et sur le papier ils ont embauché la plus qualifiée disponible. Dix-huit mois plus tard, en janvier 2022, Twitter l'a licencié.

Six mois plus tard, travaillant avec les avocats de Whistleblower Aid, il a déposé une plainte de 84 pages auprès de la SEC, de la FTC et du Département de la Justice, puis s'est présenté devant le Comité judiciaire du Sénat sous serment. Il a décrit une entreprise qui ne savait pas quelles données elle possédait, ne savait pas qui pouvait y accéder, et ne pouvait pas tenir les services de renseignement étrangers en dehors de ses propres systèmes d'ingénierie.

« Quand une plateforme médiatique influente peut être compromise par des adolescents, des voleurs et des espions, c'est grave pour nous tous. »
Peiter "Mudge" Zatko @ Comité judiciaire du Sénat, déclaration liminaire, 13 septembre 2022

De L0pht à DARPA en passant par Twitter

Mudge n'était pas un responsable de la sécurité d'entreprise qui aurait découvert quelque chose par chance. Il était un figure publique du piratage américain avant que la plupart des ingénieurs de Twitter aient terminé leurs études. En tant que membre du collectif bostonien L0pht et plus tard de Cult of the Dead Cow, il a participé à une audience du Sénat des Affaires gouvernementales en mai 1998 et a déclaré aux sénateurs que les sept hommes assis à côté de lui pourraient arrêter l'ensemble d'Internet en à peu près une demi-heure. Cette phrase est toujours citée dans les manuels de cybersécurité parce qu'il s'est avéré qu'elle était à peu près exacte.

Peiter "Mudge" Zatko à la DARPA, 10 février 2011
© Monica King / U.S. Department of Defense (domaine public)

Entre 2010 et 2013, il a dirigé des programmes à la DARPA, où il a aidé à mettre en place le bureau Information Innovation Office de l'agence et a lancé Cyber Fast Track, un programme de petites subventions qui a fourni des fonds à des chercheurs en sécurité indépendants sans les frais généraux usuels du gouvernement fédéral. Il a ensuite travaillé au groupe Advanced Technology and Projects de Google, puis chez Stripe, avant que le PDG de l'époque de Twitter, Jack Dorsey, l'ait personnellement recruté après la prise de contrôle de 2020.

Cette biographie a son importance, car Twitter n'a pas embauché un responsable de la conformité qui aurait confondu des systèmes défectueux avec de la fraude. Ils ont embauché la personne que citent les autres spécialistes de la sécurité, et il a trouvé la plateforme pire qu'il ne l'avait supposé. Il a depuis confié aux enquêteurs du Sénat que ce qu'il a vu à l'intérieur de l'entreprise l'a convaincu qu'il s'agissait d'un problème de sécurité nationale et pas seulement d'un problème d'entreprise.

La divulgation de juillet 2022

La plainte que Whistleblower Aid a déposée en juillet 2022 totalisait environ 200 pages avec des pièces jointes. Elle a été adressée à la SEC, à la FTC et au Département de la Justice, et elle a atteint le domaine public un mois plus tard lorsque CNN et le Washington Post l'ont obtenue. La divulgation visait trois choses à la fois : la conformité de l'entreprise avec un accord de consentement de la FTC de 2011 sur la protection des données des utilisateurs, ses déclarations aux investisseurs sur la façon dont elle comptait les utilisateurs et les bots, et ses contrôles d'accès internes.

L'affirmation concernant les contrôles d'accès était celle qui a choqué les professionnels de la sécurité. Zatko a dit aux régulateurs que environ la moitié des employés de Twitter étaient des ingénieurs, et que presque n'importe lequel d'entre eux pouvait déployer du code en production en direct et lire ou modifier les données de n'importe quel utilisateur de la plateforme. Il n'y avait pas d'environnements intermédiaires significatifs, pas de systèmes de développement isolés, et l'environnement de production était l'endroit où les ingénieurs faisaient du débogage. Dans une entreprise réglementée normale, ce serait un incident à signaler ; chez Twitter, c'était le processus de génération quotidien.

La plainte a également allégué que les cadres avaient à plusieurs reprises induit en erreur le conseil d'administration de l'entreprise sur la fréquence des défaillances des défenses de Twitter, et que les décomptes internes des comptes de bots n'étaient pas ce que les dépôts auprès de la SEC impliquaient. La réponse de Twitter à l'époque était que Zatko était un ancien cadre mécontent dont le récit était rempli d'inexactitudes. C'est aussi une défense qui a une longue histoire ; le conseil d'administration de Theranos avait dit quelque chose de similaire à propos d'Tyler Shultz et Erika Cheung avant l'acte d'accusation.

Sous serment devant le Sénat

Le 13 septembre 2022, Zatko s'est présenté devant le Comité judiciaire du Sénat et a lu une déclaration écrite sous serment. La première ligne a donné le ton pour le reste de l'audience.

« Je suis ici aujourd'hui parce que la direction de Twitter induit en erreur le public, les législateurs, les régulateurs et même le conseil d'administration de sa propre entreprise. (...) Peu importe qui a les clés s'il n'y a pas de cadenas. »
Peiter "Mudge" Zatko @ Comité judiciaire du Sénat, 13 septembre 2022

Les sénateurs des deux côtés de l'allée l'ont traité comme crédible, ce qui était inhabituel pour ce comité cette année-là. Chuck Grassley a passé en revue les allégations du décret de consentement de la FTC point par point. Richard Blumenthal a appuyé sur les questions de sécurité nationale. Tom Cotton a posé la question de savoir si les services de renseignement étrangers avaient déjà des gens à l'intérieur de l'entreprise.

« Si vous ne placez pas d'agents étrangers dans Twitter, vous n'accomplissez probablement pas votre travail en tant que service de renseignement étranger. »
Peiter "Mudge" Zatko @ Comité judiciaire du Sénat, 13 septembre 2022

Il a nommé au moins un cas spécifique : le FBI avait averti l'équipe de sécurité de Twitter qu'un employé agissait en tant qu'agent d'un gouvernement étranger. Il a sonné l'alarme en interne, et il a été licencié. À la fin de l'audience, plusieurs sénateurs appelaient à la création d'un nouveau régulateur de la protection de la vie privée et de la sécurité au sein du Département de la Justice. Comparé au large corpus des lanceurs d'alerte dans la presse, cette audience a eu plus d'impact que la plupart parce que l'accusation n'était pas un préjudice abstrait : c'était que un officier du renseignement étranger pourrait avoir un login d'ingénierie Twitter.

Pris dans l'acquisition Musk

La divulgation est devenue publique le 23 août 2022, en plein milieu du procès d'Elon Musk pour se retirer de son offre de 44 milliards de dollars d'achat de l'entreprise. L'équipe juridique de Musk s'est emparée de la plainte quelques jours plus tard. Ils ont soutenu devant la Cour de la chancellerie du Delaware que les allégations de Zatko constituaient un « événement dommageable important » qui annulait l'accord, l'ont cité à comparaître pour une déposition, et l'ont interrogé le 9 septembre 2022 sur les décomptes de bots et les pratiques de sécurité.

Le juge de la chancellerie a statué que les nouvelles allégations pouvaient être ajoutées à l'affaire mais étaient peu susceptibles de faire le travail que les avocats de Musk voulaient qu'elles fassent. Le 27 octobre 2022, Musk a clôturé l'acquisition au prix convenu, a licencié les cadres nommés par Zatko, et a rebaptisé l'entreprise X en quelques mois. Ce qui n'est devenu public que plus tard, c'est que Twitter avait déjà versé à Zatko un règlement de séparation confidentiel d'environ 7 millions de dollars en juin 2022, quelques semaines avant qu'il ne dépose sa plainte, aux conditions qui lui permettaient de parler au Congrès et aux régulateurs fédéraux. Le Wall Street Journal a reconstitué ce détail ce septembre-là à partir des divulgations limitées que les parties étaient disposées à faire.

Le suivi de la FTC

La FTC avait suivi Twitter selon l'accord de consentement modifié de 2022 qui a résulté d'un règlement de protection de la vie privée de 150 millions de dollars au début de la même année. En mars 2023, l'agence a confirmé qu'elle avait ouvert une enquête pour déterminer si l'entreprise post-Musk respectait cet accord. L'enquête a pris la meilleure partie de deux ans.

En février 2024, la présidente de la FTC Lina Khan a envoyé au Comité judiciaire de la Chambre une lettre de 50 pages qui est devenue la lecture la plus concrète au public sur ce qui s'était réellement passé. Le constat principal était que Musk avait ordonné au personnel de donner à un écrivain externe travaillant sur la série « Twitter Files » un accès sans restrictions, en leur disant d'accorder à la personne l'« accès complet à tout chez Twitter, sans limites ». Des employés en sécurité informatique de longue date ont bloqué l'ordre pour des raisons de décret de consentement et ont acheminé les rédacteurs par des contrôles plus étroits à la place. La FTC a conclu qu'aucune violation finale n'avait eu lieu, mais c'était serré, et elle a documenté le type de résistance interne que Zatko avait dit être absent.

Où Mudge a fini

Les lanceurs d'alerte dans le domaine de la sécurité et de la vie privée réussissent rarement à continuer à travailler dans leur domaine ; les meilleures issues pour eux ressemblent à l'exil d'Edward Snowden, ou une longue période de conseil sous un nom différent. Zatko a eu une suite différente. En septembre 2023, il a rejoint l'Agence de cybersécurité et de sécurité des infrastructures en tant que conseiller technique principal à temps partiel pour la directrice d'époque Jen Easterly, travaillant sur le programme de conception sécurisée de l'agence qui pousse les fournisseurs de logiciels à livrer des produits qui ne sont pas pré-cassés à l'arrivée.

Le 7 août 2024, il a annoncé son retour à la DARPA en tant que directeur de l'information de l'agence, au même endroit où il avait mis en place le bureau Information Innovation Office une décennie plus tôt. Il a posté qu'il espérait « faire une bosselure encore plus grande dans l'univers cette deuxième fois ». La trajectoire est difficile à trouver un parallèle : témoin du Sénat en 1998 avertissant les législateurs sur les mauvais codes de tout le monde, témoin du Sénat en 2022 avertissant les législateurs sur les mauvais codes de son propre employeur, CIO fédéral deux ans après cela.

La raison pour laquelle ce cas compte toujours pour quiconque dirige un programme de lanceurs d'alerte, c'est que les modes de défaillance que Zatko a décrits sont les modes canoniques. Une plateforme de n'importe quelle taille collecte des données sensibles plus vite que ses contrôles d'accès ne peuvent suivre. Les ingénieurs acquièrent des privilèges de production que personne dans la direction ne peut énumérer complètement. Les conseils d'administration et les régulateurs comptent sur les propres attestations de sécurité de l'entreprise, qui sont rédigées par les mêmes personnes dont le budget dépend du fait que la réponse soit rassurante. Le point d'un canal interne est de produire l'avertissement une année avant que quelqu'un n'ait à voler vers Washington avec son avocat.