Twitter contre le gouvernement fédéral : à quel point le géant social est-il en difficulté ?

Une divulgation explosive de lanceur d'alerte par l'ancien chef de la sécurité de Twitter cette semaine expose l'entreprise à de nouvelles enquêtes fédérales et potentiellement des milliards de dollars d'amendes, des obligations réglementaires plus strictes ou d'autres sanctions de la part du gouvernement américain, selon des experts juridiques et d'anciens responsables fédéraux.

Twitter fait face à d'énormes risques juridiques découlant de la divulgation du lanceur d'alerte par Peiter "Mudge" Zatko, qui prétend dans un divulgation de près de 200 pages aux autorités que l'entreprise est criblée de failles de sécurité de l'information - et que dans certains cas, ses dirigeants ont induit en erreur son propre conseil d'administration et le public sur l'état de l'entreprise, voire ont commis une fraude pure et simple.

Twitter a accusé Zatko, qui a travaillé dans l'entreprise de novembre 2020 jusqu'à son licenciement en janvier pour ce que Twitter qualifie de mauvaises performances, d'avoir poussé "un faux récit sur Twitter et nos pratiques de confidentialité et de sécurité des données qui est truffé d'incohérences et d'inexactitudes et manque de contexte important. Zatko est un expert en cybersécurité très apprécié avec une expérience dans des postes de direction chez Google, Stripe et le département de la Défense. Sa divulgation de dénonciation a été rapportée pour la première fois par CNN et le Washington Post mardi.

Se conformer à un accord de confidentialité de la FTC de 2011

Dans sa divulgation au gouvernement américain, Zatko affirme que Twitter souffre de "lacunes flagrantes" dans sa posture de cybersécurité, a délibérément induit les régulateurs en erreur sur son traitement des données des utilisateurs et que l'entreprise ne respecte pas ses obligations en vertu d'un Règlement sur la confidentialité de 2011 avec la Federal Trade Commission - une ordonnance juridiquement contraignante qui exige, entre autres, la création de «garanties raisonnables» pour protéger les informations personnelles des utilisateurs. La FTC a refusé de commenter la divulgation.

La divulgation accablante de Zatko allègue qu'environ la moitié des employés de Twitter, y compris tous ses ingénieurs, ont un accès interne excessif au produit en direct de l'entreprise, connu au sein de l'entreprise sous le nom de "production", ainsi qu'aux données réelles des utilisateurs. Il allègue également que l'entreprise n'a pas la capacité de se défendre contre les menaces internes, les gouvernements étrangers et les fuites de données accidentelles.

"Un principe fondamental d'ingénierie et de sécurité est que l'accès aux environnements de production en direct doit être limité autant que possible", indique la divulgation. "Mais chez Twitter, les ingénieurs ont construit, testé et développé de nouveaux logiciels directement en production avec un accès aux données clients en direct et à d'autres informations sensibles dans le système de Twitter."

Un dénonciateur de Twitter allègue des politiques de cybersécurité imprudentes et négligentes

Twitter a déclaré à CNN que son dossier de conformité à la FTC parle de lui-même, citant des audits de tiers déposés auprès de l'agence en vertu de l'ordonnance de consentement de 2011. Twitter a ajouté qu'il se conformait aux réglementations en vigueur en matière de confidentialité et qu'il avait été transparent avec les régulateurs quant à ses efforts pour corriger les lacunes de ses systèmes. Zatko n'a pas participé aux travaux d'audit et n'a pas pleinement compris les obligations FTC de Twitter ni la manière dont l'entreprise les remplissait, a déclaré Twitter.

La divulgation affirme que le personnel de Zatko était "intimement familier" avec les problèmes de Twitter devant la FTC et que ce sont eux qui ont dit à Zatko que Twitter n'était jamais en conformité avec l'ordonnance de 2011, ni sur la bonne voie pour le devenir.

"Nous respectons absolument le contenu de la divulgation de Mudge", a déclaré à CNN John Tye, l'avocat de Zatko et fondateur de Whistleblower Aid, l'organisation qui le représente.

Zatko pourrait être éligible à une récompense monétaire du gouvernement américain en raison de ses activités de lanceur d'alerte. "Des informations originales, opportunes et crédibles qui mènent à une action coercitive réussie" par la SEC peuvent rapporter aux lanceurs d'alerte jusqu'à 30% des amendes de l'agence liées à l'action si les sanctions s'élèvent à plus d'un million de dollars, a déclaré la SEC. La SEC a accordé plus d'un milliard de dollars à plus de 1 dénonciateurs depuis 1.

Zatko a déposé sa divulgation auprès de la SEC "pour aider l'agence à appliquer les lois" et pour obtenir la protection des dénonciateurs fédéraux, a déclaré Tye. "La perspective d'une récompense n'a pas été un facteur dans la décision de Mudge, et en fait, il ne connaissait même pas le programme de récompense lorsqu'il a décidé de devenir un dénonciateur légal."

La divulgation du dénonciateur intervient des mois après la FTC a formulé ses propres allégations que Twitter a abusé des informations de sécurité du compte à des fins publicitaires en violation de l'ordonnance de 2011. Twitter a accepté de payer 150 millions de dollars en mai pour résoudre ces réclamations, dans un deuxième règlement FTC.

Maintenant, la divulgation de Zatko soulève la perspective d'une autre violation possible des engagements FTC de Twitter – une position extrêmement dangereuse pour une entreprise et ses dirigeants, selon Jon Leibowitz, qui était président de la FTC au moment du règlement de Twitter en 2011.

"Si les faits sont vrais, ils constitueraient des violations de l'ordonnance et de la loi FTC - et cela ferait de Twitter un triple perdant", a déclaré Leibowitz à CNN dans une interview. "Il n'y aurait aucune raison pour que la FTC ne leur lance pas le livre." Bien sûr, a ajouté Leibowitz, la FTC devrait d'abord mener une enquête approfondie pour déterminer par elle-même si une nouvelle violation s'est produite.

Le sénateur Richard Blumenthal, président du sous-comité sénatorial sur la protection des consommateurs et ancien procureur général du Connecticut, a déclaré mardi dans un communiqué que les révélations de Zatko "révèlent que la responsabilité des failles de sécurité de Twitter incombe à ceux qui sont au sommet".

Il a en outre exhorté la FTC dans une lettre à enquêter sur les allégations, affirmant que les responsables devraient infliger une amende et tenir les dirigeants de Twitter personnellement responsables s'il s'avérait qu'ils étaient responsables de violations de la loi FTC ou de l'ordonnance de consentement de Twitter. La propre crédibilité de la FTC est en jeu, a déclaré Blumenthal dans la lettre, qui a également été envoyée à la FTC mardi.

"Si la Commission ne surveille pas et n'applique pas vigoureusement ses ordonnances, elles ne seront pas prises au sérieux et ces infractions dangereuses se poursuivront", a écrit Blumenthal.

"Les choses se sont en fait considérablement aggravées"

En vertu de sa charte, la FTC est autorisée à poursuivre « les actes et pratiques commerciales déloyales ou trompeuses ». À l'ère d'Internet, cela a de plus en plus signifié s'attaquer aux entreprises qui prétendent protéger les informations numériques des consommateurs mais qui, en fait, ne respectent pas leurs revendications publiques ou déforment ces protections.

Le règlement initial de Twitter en 2011 est né de deux incidents présumés où les pirates ont pu compromettre les mots de passe faibles des employés et abuser de leur accès pour prendre le contrôle des comptes Twitter et espionner des informations privées, malgré les déclarations publiques de Twitter sur la protection de la confidentialité et de la sécurité des utilisateurs.

Le règlement de Twitter n'était pas un aveu d'acte répréhensible. Mais il conditions Twitter pour créer "un programme complet de sécurité de l'information raisonnablement conçu pour protéger la sécurité, la vie privée, la confidentialité et l'intégrité des informations non publiques des consommateurs" - un engagement qui, selon Zatko, n'a jamais été respecté.

Dans le cadre de son dernier règlement FTC cette année, Twitter s'est engagé à respecter des obligations de cybersécurité encore plus granulaires, notamment en ayant des «politiques et contrôles d'accès» pour toutes les bases de données contenant des données utilisateur, ainsi que pour les systèmes qui permettent aux employés d'accéder aux comptes Twitter ou qui ont des informations qui « permet ou facilite » l'accès aux systèmes internes de Twitter. Ces obligations sont déjà en vigueur après la signature de l'ordonnance par un juge ce printemps, ce qui accroît encore l'exposition juridique potentielle de Twitter.

Malgré les exigences réglementaires croissantes de Twitter, Zatko affirme que peu de choses ont changé dans l'entreprise depuis la plainte initiale de la FTC il y a plus de dix ans.

"Les choses se sont en fait considérablement aggravées", affirme sa divulgation au Congrès. La divulgation affirme que même si Twitter négociait activement le deuxième règlement avec la FTC l'année dernière, la société, dans un incident entièrement distinct, a permis que le même type d'utilisation abusive des données à des fins publicitaires se reproduise.

En réponse à plus de 50 questions spécifiques de CNN liées à la divulgation, Twitter n'a pas répondu à l'allégation de Zatko concernant cet incident. Il a reconnu que ses équipes d'ingénierie et de produit sont en mesure d'accéder à l'environnement de production en direct de Twitter à condition qu'elles aient une justification commerciale spécifique, ajoutant que les membres d'autres départements – tels que les finances, le juridique, le marketing, les ventes, les ressources humaines et le support – ne le peuvent pas. Twitter a également déclaré à CNN que les ordinateurs des employés sont automatiquement vérifiés pour déterminer s'ils sont à jour, et ceux qui échouent aux vérifications ne peuvent pas se connecter à la production.

Potentiel de nouveau règlement ou poursuite

Les enjeux de la divulgation pourraient être extrêmement importants. Une conclusion de la FTC selon laquelle Twitter a violé son ordre une troisième fois pourrait entraîner les sanctions les plus sévères que l'agence ait jamais imposées à l'entreprise. La FTC est également actuellement présidée par Lina Khan, une sceptique vocal des plateformes technologiques et de ce qu'elle appelle une industrie de « surveillance commerciale » qui profite du laxisme des règles nationales en matière de confidentialité. Sous Khan, la FTC envisage de rédiger balayer de nouvelles réglementations sur la confidentialité qui pourraient affecter directement les entreprises de l'ensemble de l'économie, y compris Twitter, et la manière dont elles collectent, utilisent et partagent les données personnelles.

Si la FTC concluait qu'une violation s'était produite, elle aurait deux options principales pour tenir Twitter responsable, ont déclaré d'anciens responsables de l'agence. Il pourrait chercher un troisième règlement avec la société, ou il pourrait poursuivre Twitter au sujet des ordonnances de consentement existantes et demander à un tribunal des sanctions appropriées.

Dans le cas d'un règlement, la FTC pourrait même chercher à nommer des dirigeants individuels - les tenant personnellement responsables et les forçant à accepter des obligations sur leur propre conduite dont ils pourraient être tenus responsables si eux-mêmes ou l'entreprise violaient à nouveau l'ordre.

S'il s'avère que Twitter a violé ses obligations légales, a déclaré Leibowitz, la FTC devrait "envisager très sérieusement... de mettre les dirigeants responsables sous contrôle".

La simple menace de nommer des dirigeants individuels peut être efficace, a-t-il ajouté. Pendant son mandat de président de la FTC, Leibowitz se souvient : « Je ne peux pas vous dire combien de PDG sont venus dans mon bureau en disant : 'S'il vous plaît, ne me nommez pas. Je ne veux juste pas être nommé. Cela ne me dérange pas si je paie plus d'argent; Cela ne me dérange pas si ma société est placée sous un ordre plus fort. Mais je ne veux tout simplement pas être nommé. "

Megan Gray, une ancienne avocate de la FTC qui a travaillé sur certaines des plus grandes affaires de confidentialité de l'agence, a déclaré que les outils à la disposition de la FTC sont nombreux. (CNN a parlé à Gray avant que les allégations de Zatko ne deviennent publiques et sans divulguer leur existence, puis à nouveau mardi après que CNN et le Washington Post ont rapporté la divulgation de Zatko.)

"Amences croissantes, davantage de rapports de conformité, des contrôles et des restrictions plus granulaires sur leurs secteurs d'activité", a déclaré Gray, cochant une liste d'options. "Ou une obligation de faire pré-approuver les publicités par l'agence, ou de les exclure de certains types de transactions."

Une agence qui a besoin de plus d'outils pour responsabiliser les entreprises

Twitter a cité ses audits tiers comme preuve qu'il a respecté ses engagements FTC. Mais en général, la façon dont les exigences d'audit de la FTC fonctionnent souvent dans la pratique peut permettre aux entreprises de s'en tirer bien trop facilement, a déclaré Gray.

Par exemple, de nombreuses ordonnances de la FTC sont rédigées de manière suffisamment large pour permettre à une entreprise de satisfaire à ses obligations sur la base, entre autres, d'"attestations" de conformité - une promesse pinkie, a déclaré Gray à CNN. Dans les rapports à la FTC, les entreprises qui effectuent des audits tiers peuvent simplement dire ou citer des déclarations de l'entreprise auditée, que l'entreprise est en conformité.

De 2011 à 2022, l'ordonnance de consentement de Twitter avec la FTC a permis des rapports d'audit basés sur des attestations. Puis, dans son deuxième règlement cette année, la FTC a rendu les exigences d'audit plus spécifiques, interdisant aux auditeurs tiers de Twitter de s'appuyer « principalement » sur les attestations de la direction de Twitter.

Même avec ces types de restrictions, il y a toujours des raisons d'être sceptique quant aux rapports d'audit de la FTC, a déclaré Gray. C'est parce que les auditeurs tiers ne sont pas payés par la FTC, mais par les entreprises auditées, a-t-elle déclaré.

"Donc, les incitations sont complètement détraquées pour les sociétés d'audit", a ajouté Gray.

Twitter a déclaré à CNN que les audits ne sont qu'un des programmes de confidentialité et de sécurité que Twitter doit respecter ses obligations FTC.

De nombreux responsables actuels et anciens de la FTC, ainsi que des législateurs américains et des défenseurs des consommateurs, ont fait pression pour donner à la FTC davantage d'outils pour tenir les entreprises responsables, en particulier après la Cour suprême l'année dernière. foudroyé la capacité de l'agence à demander une réparation pécuniaire dans certaines circonstances.

Certains partisans d'une surveillance plus stricte ont réclamé, par exemple, laisser la FTC imposer des amendes aux entreprises pour les premières violations de la loi FTC. Actuellement, la FTC ne peut généralement chercher à imposer des sanctions civiles à une entreprise après avoir violé un règlement antérieur.

Dans le cas de Twitter, négocier une ordonnance de consentement pour la troisième fois peut sembler étrange, a déclaré un autre ancien responsable de la FTC, s'exprimant sous couvert d'anonymat afin de parler plus franchement. Mais dans le cas où elle trouverait une violation, et comme dans tous les cas, la FTC devra peser ce qu'elle pense pouvoir obtenir de Twitter par le biais d'un règlement par rapport à ce que l'agence pourrait être en mesure de gagner auprès d'un tribunal de première instance.

Il existe des risques de litiges longs et interminables, où un tribunal peut en fait accorder moins de FTC, a déclaré l'ancien responsable.

"Certaines personnes pensent que ces ordres ne sont en quelque sorte rien", a déclaré l'ancien responsable, "mais ils ne le sont pas. Peut-être que dans certains cas, ils le sont, et les entreprises ne les prennent pas au sérieux. Mais dans de nombreux cas, ils le font, et la FTC peut exiger beaucoup de douleur. Beaucoup de douleur."

The-CNN-Wire™ & © 2022 Cable News Network, Inc., une société Warner Bros. Discovery. Tous les droits sont réservés.