Twitter désigne le célèbre hacker informatique "Mudge" comme responsable de la sécurité
Il devrait apporter des changements dans les pratiques de sécurité de l'entreprise

Sujet à des problèmes de sécurité de plus en plus récurrents, Twitter a nommé lundi Peiter Zatko, l'un des hackers informatiques les plus réputés au monde, au poste de responsable de la sécurité pour l'aider à améliorer et à renforcer ses pratiques en matière de sécurité. Selon un rapport de Reuters lundi, Peiter Zatko doit en effet s'attaquer à tous les problèmes la plateforme, des faux pas techniques à la désinformation. Il devrait prendre en charge la gestion des fonctions clés de la sécurité après un examen de 45 à 60 jours.

Twitter fait actuellement face à de nombreux problèmes liés à la sécurité

Twitter est confronté à de nombreux défis en matière de sécurité. Il y a un an, le gouvernement américain a accusé deux hommes d'espionnage pour l'Arabie saoudite alors qu'ils travaillaient sur Twitter des années auparavant, disant qu'ils avaient transmis des informations privées sur les critiques du royaume. Selon des documents judiciaires, l'un des participants au stratagème est l'associé du prince héritier saoudien Mohammed bin Salman, qui, selon la CIA, a probablement ordonné l'assassinat du journaliste Jamal Khashoggi à Istanbul en 2018.

L'affaire met en lumière la question des puissances étrangères exploitant les plateformes américaines de médias sociaux pour identifier les critiques et réprimer leurs voix. Et cela soulève des inquiétudes quant à la capacité de la Silicon Valley à protéger les informations privées des dissidents et autres utilisateurs contre les gouvernements répressifs. Cette année, Twitter a été victime d'un piratage au cours duquel de jeunes hackers ont ciblé les employés via une attaque d'hameçonnage par téléphone pour exploiter les vulnérabilités humaines afin d'accéder aux systèmes internes de l'entreprise.


Cela a permis aux pirates informatiques de détourner plus de 130 comptes Twitter dans le cadre d'une escroquerie de cryptomonnaie au début du mois de juillet. Selon un mémo interne de Twitter, les pirates ont utilisé un processus en plusieurs étapes, piratant les différents niveaux d'accès-employés pour obtenir les identifiants de connexion au réseau interne de l'entreprise, puis s'emparant des identifiants de niveau administrateur nécessaires pour accéder aux outils de support interne disponibles pour quelques employés seulement.

Cette attaque a également permis aux hackers de modifier les paramètres des comptes et de tweeter à partir des comptes du candidat à la présidence de l'époque, Joe Biden, du fondateur de Microsoft, Bill Gates, et du PDG de Tesla, Elon Musk. Début août 2020, la FTC a ouvert une enquête sur Twitter, accusant la société d'avoir utilisé les numéros de téléphone de ses utilisateurs à des fins publicitaires, alors qu'ils lui étaient communiqués pour l'authentification à deux facteurs. Dans un communiqué, Twitter a indiqué que l'usage des numéros de téléphone et des adresses e-mail à des fins publicitaires était « involontaire ».

« Nous avons récemment découvert que lorsque vous avez fourni une adresse e-mail ou un numéro de téléphone à des fins de sécurité (dans le cadre de l'authentification à deux facteurs, par exemple), ces données peuvent avoir été utilisées par mégarde à des fins publicitaires, en particulier avec nos fonctionnalités d'audiences personnalisées et d'audiences tierces », a déclaré l'entreprise. En dehors de ces inquiétudes, la société est également confrontée à d'autres problèmes liés à la sécurité, dont la désinformation.

Twitter tente de remédier à ses problèmes et fait appel à Mudge

Pour cela, et afin de changer les choses, Twitter a fait appel à Peiter Zatko, qui a déjà fait ses preuves en tant que hacker particulier et en travaillant pour Google et le gouvernement américain. En effet, la carrière colorée de Zatko a commencé dans les années 1990, lorsqu'il a simultanément mené des travaux classifiés pour un entrepreneur du gouvernement et a été parmi les dirigeants du Cult of the Dead Cow, un groupe de piratage informatique connu pour avoir développé des outils de piratage de Windows afin d'inciter Microsoft à améliorer la sécurité.

Mieux connu sous le pseudonyme de "Mudge", Zatko est programmeur open source, expert en sécurité réseau, écrivain et hacker. Il est né le 1er décembre 1970 à Boston dans le Massachusetts et est diplômé du Berklee College of Music. Il fut directeur général et chercheur en chef de "L0pht Heavy Industries", un fameux groupe de hackers spécialiste en sécurité informatique. Il est l'un des sept membres du L0pht qui ont témoigné devant une commission du Sénat en 1998 sur les graves vulnérabilités de l'Internet à cette époque.

Le L0pht est devenu le cabinet de conseil en sécurité informatique "@stake" en 1999, et Mudge est devenu vice-président de la recherche et du développement, puis responsable scientifique. Entretemps, il est responsable des premières recherches sur un type de vulnérabilité de sécurité connu sous le nom de débordement de la mémoire tampon. Il a publié en 1995 "How to Write Buffer Overflows", l'un des premiers articles sur le sujet. Il est également membre de la coopérative de piratage informatique et culturel de longue date, le cDc (Cult of the Dead Cow - le culte de la vache morte), depuis 1996.

Mudge est aussi l'auteur de certains des premiers avis de sécurité et recherches démontrant les premières vulnérabilités d'Unix telles que l'injection de code, les attaques de canal latéral et les fuites d'informations. C'est également l'auteur initial des outils de sécurité L0phtCrack, AntiSniff et l0phtwatch. En outre, c'est l'une des premières personnes de la communauté des hackers à tendre la main et à établir des relations avec le gouvernement et l'industrie. Très sollicité en tant qu'orateur, il est intervenu lors de conférences de pirates informatiques, comme la DEF CON, et de conférences universitaires comme USENIX.

En 2000, après les premières attaques paralysantes par déni de service diffusées sur Internet, il a été invité à rencontrer le président Bill Clinton lors d'un sommet sur la sécurité aux côtés de membres du cabinet et de dirigeants de l'industrie. En 2004, Mudge est devenu scientifique chez l'entrepreneur gouvernemental BBN Technologies, où il a d'abord travaillé dans les années 1990, et a également rejoint le conseil consultatif technique de NFR Security. En 2010, il a été annoncé qu'il serait chef de projet d'un projet DARPA visant à diriger la recherche en matière de cybersécurité.

En 2013, il a annoncé qu'il quitterait la DARPA pour un poste à Google ATAP (Advanced Technology and Projects). En 2015, Zatko a annoncé sur Twitter qu'il rejoindrait un projet appelé #CyberUL, une organisation de test pour la sécurité informatique inspirée des Underwriters Laboratories, mandatée par la Maison Blanche. Désormais, il va mettre son expertise au service Twitter. Dans une interview lundi, Zatko a déclaré qu'il examinera « la sécurité de l'information, l'intégrité du site, la sécurité physique, l'intégrité de la plateforme, dont les premiers éléments concernent les abus et la manipulation de la plateforme, et l'ingénierie ».


Les problèmes de sécurité de Twitter sont profonds et difficiles à résoudre

Selon certaines critiques de la société, les problèmes de sécurité de Twitter ne sont pas à prendre à la légère et représentent un grand défi à relever pour Zatko. « Je ne sais pas si quelqu'un peut réparer la sécurité de Twitter, mais il serait en tête de ma liste », a déclaré Dan Kaufman, qui a supervisé Zatko à la DARPA et qui dirige maintenant le groupe des produits avancés chez Google. D'autres pensent que l'entreprise doit redéfinir les bases de la sécurité de sa plateforme et renouveler son équipe d'experts en sécurité.

« La faille de sécurité de cet été nous a rappelé jusqu'où Twitter doit aller dans la mise en place de certaines des fonctions de sécurité de base nécessaires au fonctionnement d'un service ciblé par des adversaires bien plus compétents que les adolescents arrêtés pour cet incident », a déclaré Alex Stamos, ancien responsable de la sécurité de Facebook et actuellement chercheur à Stanford, qui a contribué à diriger les efforts de lutte contre la désinformation électorale. Stamos, qui a travaillé pour la société de conseil en sécurité de Zatko, l'a qualifié d'atout pour une société qui n'a pas la puissance financière de Facebook et Google.

« Ils vont devoir trouver des solutions créatives à ces problèmes, et si Mudge est célèbre pour quelque chose dans le domaine de la sécurité, c'est bien d'être créatif », a-t-il ajouté. Lors de son allocution, Zatko a déclaré qu'il s'engageait à améliorer les conversations publiques sur Twitter. Il a fait l'éloge d'une récente initiative de Twitter visant à renforcer les "frictions" en incitant les utilisateurs à commenter au lieu de simplement retweeter. « Une prochaine étape pourrait être de forcer les gens à comprendre une longue conversation avant d'y participer », a-t-il dit.

Par ailleurs, Zatko a également déclaré qu'il appréciait l'ouverture de Twitter à des approches de sécurité non conventionnelles, comme sa proposition de confondre les mauvais acteurs en manipulant les données qu'ils reçoivent de Twitter sur la façon dont les gens interagissent avec leurs messages. « Ils sont prêts à prendre des risques », a déclaré Zatko à propos de son nouvel employeur. « Avec les défis des algorithmes et de la partialité algorithmique, ils ne restent pas les bras croisés en attendant que quelqu'un d'autre résolve le problème », a-t-il conclu.

Source : Reuters

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que Zatko est en mesure d'aider Twitter à renforcer sa sécurité ?

Voir aussi

USA : deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien

Piratage de Twitter : les pirates ont ciblé les employés via une attaque d'hameçonnage par téléphone, pour exploiter les vulnérabilités humaines afin d'accéder aux systèmes internes de l'entreprise

Twitter fait face à une enquête de la FTC pour avoir utilisé les numéros de téléphone à des fins publicitaires, alors qu'ils lui étaient communiqués pour l'authentification à deux facteurs

Twitter bloque 5000 bots pro-Trump qui retweetent des invectives contre le rapport Mueller et Donald Trump s'inquiète de la perte de ses abonnés

Plus de 1 000 personnes chez Twitter avaient la capacité d'aider au piratage des comptes, rendant difficile la défense contre l'attaque de la semaine dernière