Le dénonciateur de Twitter a été acclamé par les hackers pour avoir révélé des failles logicielles
De L0pht et Cult of the Dead Cow à DARPA et Google, Peiter Mudge Zatko a adopté des approches peu orthodoxes pour faire une brèche dans l’univers
Le document, obtenu par le Washington Post auprès d’un haut responsable démocrate de Capitol Hill, pourrait affecter les perspectives juridiques et financières de Twitter ainsi que sa bataille avec Elon Musk, le PDG de Tesla essayant de ne pas acheter Twitter pour 44 milliards de dollars au motif que la société l’a induit en erreur ainsi que les actionnaires.
Mais Zatko, qui a été licencié en janvier, moins de deux ans après que le directeur général de l’époque, Jack Dorsey, l’a engagé, dit qu’il essaie simplement de remplir son engagement de rendre Twitter et ses utilisateurs, y compris les dissidents de régimes autoritaires, plus sûrs par le biais de toute loi. moyens.
Cela explique pourquoi Dorsey l’a embauché en premier lieu en tant qu’expert connu pour suivre sa propre boussole morale et dire la vérité pour inciter au changement, même à ses risques et périls. Sa devise de longue date : Faire une brèche dans l’univers.
Zatko a déclaré à The Post qu’il avait sauté sur l’occasion de rejoindre la plate-forme pour améliorer la santé de la conversation publique après qu’un pirate informatique adolescent ait détourné les comptes Twitter vérifiés des dirigeants politiques en 2020. et faire quelques balançoires.
Mais selon la plainte de Zatkos, après que Dorsey a démissionné de son poste de PDG en novembre 2021, et que Zatko a informé les membres du conseil d’administration de Twitter que les protections pour les données sensibles des utilisateurs étaient plus faibles qu’on ne le leur avait dit, le nouveau PDG Parag Agrawal l’a licencié.
Twitter a déclaré que les affirmations de Zatkos étaient fausses, exagérées ou obsolètes.
M. Zatko a été licencié de Twitter il y a plus de six mois pour mauvaise performance et leadership, et il semble maintenant chercher de manière opportuniste à nuire à Twitter, à ses clients et à ses actionnaires, a déclaré Rebecca Hahn, vice-présidente mondiale des communications de Twitter. Agrawal, qui a refusé de commenter, a envoyé un e-mail aux employés après la publication de cet article indiquant que Zatko avait été licencié pour mauvaise performance.
Les avocats de Zatko ont nié que son objectif était de nuire à Twitter ou qu’il était opportuniste. Zatko a soulevé à plusieurs reprises des inquiétudes concernant les systèmes de sécurité de l’information manifestement inadéquats de Twitter au comité exécutif et au conseil d’administration de la société, ont écrit ses avocats. Zatko a mis sa carrière en jeu en raison de ses inquiétudes concernant les utilisateurs de Twitter, le public et les actionnaires de l’entreprise.
Zatko, 51 ans, a une longue expérience dans la divulgation forcée de secrets, en particulier lorsqu’ils protègent des activités malveillantes ou l’irresponsabilité des entreprises.
À l’âge de 30 ans, il avait écrit l’un des outils les plus puissants pour déchiffrer les mots de passe, toujours utilisé, témoigné au Congrès sous son pseudo hacker sur la sensibilité d’Internet aux piratages drastiques et cofondé l’un des premiers cabinets de conseil en piratage soutenu par capital-risque, visant à apporter des informations du cyber-underground aux grandes entreprises qui ont le plus à perdre.
Bien qu’il ait refusé de discuter des spécificités de Twitter, les documents que l’avocat de Zatkos à Whistleblower Aid a remis aux régulateurs, ainsi que des entretiens avec des employés et associés actuels et anciens, expliquent comment sa carrière rendait peu probable qu’il quitte tranquillement la plate-forme technologique de San Francisco.
J’ai rejoint Twitter parce que c’est une ressource essentielle pour le monde, a déclaré Zatko depuis son domicile dans la région de New York. Toutes les nouvelles semblent provenir de Twitter ou vont sur Twitter pour la coloration et le contexte, et en tant que telles, non seulement elles peignent l’opinion publique, mais elles peuvent changer les gouvernements.
Fils d’un professeur de chimie et d’un scientifique minier, Zatko a grandi en Alabama et en Pennsylvanie, jouant du violon et de la guitare, brisant les verrous du droit d’auteur numérique sur les jeux électroniques et participant au premier monde en ligne des forums de discussion textuels commutés. Choisir des verrous virtuels et physiques était amusant, et alors qu’il entrait au Berklee College of Music en 1988, Zatko a continué à explorer en ligne, échangeant parfois son accès à l’espace du studio Berklee contre l’accès aux laboratoires informatiques dont jouissent les hackers en herbe au Massachusetts Institute of Technology.
Restant à Boston, Zatko a transformé une mission temporaire de support technique en un véritable travail de sécurité chez ce qui s’appelait alors BBN Technologies, un entrepreneur gouvernemental d’élite responsable des premiers plomberie de base internets. À cette époque, le piratage le plus sérieux se faisait à l’intérieur de ces grands laboratoires, expérimentant sur des ordinateurs centraux et des réseaux d’ordinateurs plus petits.
La scène extérieure du piratage était plus agitée et plus amusante, un univers alternatif de noms d’emprunt, des secrets partagés sur la manipulation des systèmes téléphoniques et informatiques et l’errance dans des entreprises privées.
En 1996, Zatko rejoint le L0pht (prononcer loft), souvent présenté comme le premier hackerspace américain. Le collectif comprenait une poignée de bricoleurs de matériel, de logiciels et de sans fil qui se sont fait connaître pour avoir émis des avertissements publics sur les failles de sécurité des programmes.
À l’époque, la plupart de ces avertissements concernaient les logiciels d’entreprise, car l’Internet grand public ne faisait que commencer. Microsoft aidait à conduire cette vague, et il s’est offensé lorsque le L0pht a publié de nouvelles alertes de bogue qui indiquaient aux pirates talentueux où chercher pour pénétrer dans ses marchandises.
Le géant du logiciel a suggéré que le L0pht ferait plus de bien s’il prévenait à l’avance de laisser l’entreprise développer un correctif logiciel pour les défauts avant de publier les résultats, laissant les criminels en abuser, selon les archives de l’époque. Le groupe a accepté, établissant un modèle de divulgation coordonnée maintenant utilisé par la plupart des chercheurs.
Les hauts responsables du gouvernement, même ceux qui ne font pas partie des agences de renseignement, commençaient à peine à s’inquiéter de ce que les pirates informatiques d’un autre pays pourraient faire aux États-Unis. États. Ainsi, Richard Clarke, membre du personnel de la Maison Blanche de Clinton, a aidé Zatko et d’autres du L0pht à témoigner devant le Congrès en 1998, même s’ils ont insisté pour utiliser des pseudonymes.
Zatko et son collègue membre de L0pht, Christien Rioux, plus tard cofondateur de la société de sécurité Veracode, ont également rejoint un groupe plus vaste et plus sauvage, Cult of the Dead Cow, qui a inventé le terme hacktivisme, un portemanteau de piratage et d’activisme qui, selon le groupe, a promu les droits de l’homme. en diffusant des informations et en luttant contre la censure et la surveillance. (Un des premiers membres de ce groupe était Beto ORourke, actuellement candidat au poste de gouverneur du Texas.)
Alors que le piratage est devenu un phénomène culturel que les grandes entreprises ont ignoré à leurs risques et périls, le culte de la vache morte a fait des cascades comme lancer des CD avec du code pour pirater Microsofts Windows depuis la scène lors de la conférence de piratage Def Con à Las Vegas.
Les dirigeants de Microsoft ont minimisé le préjudice potentiel pour les utilisateurs ordinaires, mais après que de grands clients ont menacé de déplacer davantage d’opérations vers Linux, la société a consacré davantage de ressources à la sécurité. Certains experts en sécurité de Microsoft ont déclaré lors d’entretiens privés qu’ils étaient reconnaissants pour les bouffonneries du culte des vaches mortes.
Professionnellement, Zatko a aidé à transformer le L0pht en @stake à but lucratif, la première société de conseil qui est entrée dans les grandes banques et les sociétés de logiciels, même Microsoft, pour les conseiller sur les sujets de préoccupation et suggérer des améliorations, telles que la signature numérique de programmes légitimes.
Zatko a rejoint plus tard le centre d’innovation du Pentagone DARPA, la Defense Advanced Research Projects Agency. Là, il a créé un programme accéléré pour distribuer rapidement de petites subventions, donnant aux pirates isolés un moyen d’aider le gouvernement.
Zatko est retourné dans le monde de l’entreprise en travaillant sur des projets spéciaux chez Motorola Mobility et Google, qui ont rapidement racheté l’entreprise. Zatko a également conseillé les membres de l’équipe de sécurité de Google, y compris l’ingénieur distingué Niels Provos, qui a dirigé des centaines de spécialistes.
Son prochain arrêt était la start-up de paiements électroniques Stripe, qui avait une petite équipe de sécurité bien qu’elle soit devenue une cible massive pour les criminels à mesure que sa popularité montait en flèche.
Zatko a resserré les contrôles, s’assurant que les améliorations étaient fondées sur des principes et mesurables et corrigeant les lacunes les plus urgentes, a déclaré Provos, qui a succédé à Zatko à la tête de la sécurité de Stripes.
Au moment de ce transfert, a déclaré Provos, chaque employé de Stripe disposait d’un jeton matériel comme deuxième facteur pour s’authentifier pour l’accès, et chaque ordinateur portable avait sa propre identité, dictant ce que l’utilisateur avait la permission de faire.
Après le piratage de Twitter en 2020, Dorsey a attiré Zatko loin de Stripe, lui disant qu’il avait été inspiré par la carrière de Zatko, ont déclaré deux sources proches de la conversation.
Jack aime les hackers et Mudge est une légende des hackers, a déclaré l’un d’entre eux sous couvert d’anonymat pour discuter de questions internes à l’entreprise.
Les documents déposés par l’avocat de Zatkos avec la SEC, la FTC et le ministère de la Justice disent qu’il a commencé par un examen rigoureux des graves problèmes de sécurité interne de l’entreprise.
Zatko a recruté les meilleurs ingénieurs et a fait pression pour plus de transparence et de responsabilité. Il peut parler geek mais aussi communiquer si efficacement, a déclaré Renee Rush, une vétéran de la DARPA qui est sortie de sa retraite pour travailler à nouveau avec Zatko sur Twitter. Il va entre les mondes et il a une vision qu’il peut exécuter. C’est une licorne.
Le défi auquel il a été confronté a été mis au point moins de deux mois après son entrée en fonction, lors de l’assaut contre le Congrès le 6 janvier 2021.
Alors que le débat fait rage sur Twitter sur l’opportunité de suspendre le compte largement suivi du président Donald Trump pour avoir inspiré les émeutiers, Zatko a demandé comment Twitter pourrait sécuriser son environnement de production afin qu’aucun pirate informatique ou ingénieur mécontent ne puisse saboter le service.
Zatko allègue dans sa plainte de lanceur d’alerte qu’on lui a dit que cela ne pouvait pas être fait et que des milliers d’employés pourraient toujours faire des ravages s’ils le voulaient.
Ce même jour, un appel est venu d’en haut dans L’équipe de transition du président élu Joe Bidens, offrant à Zatko le poste de responsable de la sécurité de l’information pour l’ensemble du gouvernement fédéral à compter du 20 janvier, indique la plainte.
Zatko dit dans sa plainte qu’il y a réfléchi pendant une journée, puis l’a refusé, pensant qu’il pourrait faire plus de bien à Twitter.
Mais Zatko ne s’est pas fondu dans la culture de Twitter. Certains de ceux qui ont eu affaire à lui ont dit qu’il avait l’air arrogant, surtout lorsqu’il s’aventurait au-delà de ses domaines d’expertise.
C’est un savant total, mais aussi un peu un taureau dans un magasin de porcelaine, a déclaré une personne qui a travaillé avec lui sur Twitter, s’exprimant sous le couvert de l’anonymat en raison d’un accord de confidentialité.
Zatko a duré près d’un an de plus avant de se disputer avec Agrawal sur ce que le conseil d’administration avait besoin de savoir, selon la plainte légale.
Une fois sorti, Zatko a cherché un moyen d’avertir légalement les régulateurs en mesure d’imposer des changements. Ses documents de dénonciation exposent ce qu’il considère comme des manquements dangereux au sein de l’entreprise et invite les régulateurs à intervenir, en particulier la FTC.
Ce ne serait jamais mon premier pas, mais je crois que je remplis toujours mon obligation envers Jack et envers les utilisateurs de la plate-forme », a déclaré Zatko. Je veux finir le travail pour lequel Jack m’a amené, c’est-à-dire améliorer l’endroit.
Elizabeth Dwoskin a contribué à ce rapport.