Connu et respecté dans le milieu de la cybersécurité, l’ex-chef de la sécurité de Twitter Peiter Zatko fait figure d’aubaine pour Elon Musk dans l’affaire qui l’oppose au réseau social, même si la portée des accusations du lanceur d’alerte restent à démontrer.
• À lire aussi: Musk invoque l’ex-chef de la sécurité de Twitter pour justifier l’abandon du rachat
Surnommé «Mudge», l’informaticien de 51 ans a répondu mardi aux questions d’une commission du Sénat sur son rapport explosif, où il reproche à Twitter d’avoir dissimulé des failles dans son système de sécurité et menti sur sa lutte contre les faux comptes.
«La direction de Twitter trompe les élus, les régulateurs et même son propre conseil d’administration», a-t-il lancé d’emblée.
Du pain bénit pour Elon Musk: le patron de Tesla brandit depuis des mois la question de la proportion de comptes inauthentiques pour justifier l’abandon de son projet de rachat de Twitter pour 44 milliards de dollars.
L’intervention de «Mudge» a ouvert une «boîte de Pandore» pour l’entreprise de San Francisco, estime Dan Ives, analyste à Wedbush Securities. «Jusqu’au développement Zatko, Wall Street donnait Twitter gagnant» lors du procès prévu pour octobre devant un tribunal spécialisé.
En cas de victoire de l’Oiseau bleu, la juge pourrait infliger plusieurs milliards de dollars de dommages et intérêts à l’homme le plus riche du monde, voire même le forcer à honorer son coûteux engagement.
Jésus
Fils de deux scientifiques, Peiter Zatko a grandi en Alabama et en Pennsylvanie, partageant son temps entre la musique et l’informatique.
En 1996, il rejoint un collectif de hackers baptisé L0pht, avec qui il témoigne devant le Congrès deux ans plus tard. «C’était la première fois que le gouvernement américain citait des +hackers+ dans un contexte positif», a-t-il raconté en mai 2019 sur Twitter.
Sa photo de profil le montre à cette époque, évoquant Jésus avec ses cheveux longs et une auréole de lumière.
Il a ensuite occupé différents postes au sein de Google et Stripe (entreprise de services de paiement en ligne), puis au Darpa, l’agence de recherche du Pentagone.
Jack Dorsey, le fondateur de Twitter, l’a recruté en juillet 2020 après un spectaculaire piratage des comptes de célébrités et personnalités politiques (dont Barack Obama, Elon Musk et Kim Kardashian).
En janvier 2021, l’équipe de transition de Joe Biden lui offre le poste de directeur de la sécurité à la Maison-Blanche. Il refuse, estimant qu’il a encore du travail à accomplir pour le réseau social, d’après ses avocats. Mais il est remercié en janvier dernier en raison «d’un leadership inefficace et de mauvaises performances», selon Twitter.
«Faux», affirment ses avocats: d’après eux, Mudge a été saqué après une confrontation avec la direction (dont l’actuel patron Parag Agrawal), qui aurait refusé d’admettre les problèmes de sécurité signalés par le cadre.
Peiter Zatko a assuré aux sénateurs mardi ne pas agir par «méchanceté».
«Étant donné les dommages réels pour les utilisateurs et la sécurité nationale, j’ai décidé qu’il était nécessaire de prendre le risque personnel et professionnel, pour moi et ma famille, de donner l’alerte», a-t-il ajouté, visiblement ému.
«Château de cartes»
«Si Mudge dit que Twitter a des problèmes de cybersécurité, Twitter a de gros problèmes», a déclaré Aaron Turner, le directeur technologique de Vectra, une société californienne de cybersécurité, qui dit connaître l’informaticien depuis les années 1980.
Fin juin, Twitter a accepté de payer plus de 7 millions de dollars d’indemnités de licenciement à Peiter Zatko.
Quelques jours plus tard, l’ingénieur envoie son rapport aux autorités, où il évoque directement les questions posées par Elon Musk sur les comptes automatisés. Il mentionne des déclarations «trompeuses» de Parag Agrawal, des outils «obsolètes» et des équipes «débordées» et «inefficaces».
Il dénonce aussi des «défaillances graves et choquantes (de cybersécurité), de l’ignorance volontaire et des menaces à la sécurité nationale et à la démocratie».
Des allégations dommageables, mais pas forcément rédhibitoires, d’après différents analystes.
«Ce ne sont toujours pas des preuves que Twitter a déformé les chiffres», relève Jasmine Enberg, d’Insider Intelligence. «Cela démontre plutôt un potentiel manque d’intérêt des cadres de Twitter pour la lutte contre les bots».
Les avocats d’Elon Musk vont «essayer de prouver que Twitter a essayé de lui vendre un château de cartes en toute connaissance de cause», commente Adam Badawi, professeur de droit à l’université de Berkeley. Mais «il faudrait que ces vulnérabilités (de sécurité) soient vraiment, vraiment graves».