Un cas d'espionnage sur Twitter met en évidence les risques pour les grandes plateformes technologiques

Les allégations d'espionnage par d'anciens employés de Twitter pour l'Arabie saoudite mettent en exergue les risques pour les entreprises de la Silicon Valley détenant des données sensibles qui rendent les plateformes propices à l'espionnage.

Les deux Saoudiens et un citoyen américain auraient collaboré pour démasquer les détails de propriété derrière les comptes Twitter dissidents au nom du gouvernement de Riyad et de la famille royale, selon un acte d'accusation fédéral.

Selon des analystes, cet incident montre à quel point les énormes bases de données détenues par les géants de la Silicon Valley peuvent être des cibles juteuses pour les agences de renseignement, qui peuvent souvent faire pression sur les initiés de la société.

"L'affaire Twitter montre à quel point les données sont un atout, mais aussi un handicap pour les entreprises", a déclaré Adrian Shahbaz, directeur de la recherche sur la technologie et la démocratie au sein du groupe de défense des droits de l'homme Freedom House.

"Pour les entreprises qui collectent des quantités massives de données, le défi consiste à protéger les données non seulement contre les pirates, mais aussi contre les employés malhonnêtes."

Shahbaz a déclaré que des plateformes telles que Twitter et Facebook restaient des outils importants pour les activistes des droits de l'homme, mais que les utilisateurs devraient être conscients du risque de fuite de données, à la fois dans leur pays et par des initiés.

"Il est alarmant de voir comment les gouvernements utilisent des tactiques pour exploiter les faiblesses inhérentes à Internet (…) s'attaquent aux personnes qui expriment leur désaccord", a-t-il déclaré.

"C'est un jeu de chat et de souris constant entre les utilisateurs et les gouvernements disposant de ressources très importantes."

Bruce Schneier, chercheur en sécurité et chercheur au Centre Internet & Société Berkman Klein de l'Université Harvard, a déclaré qu'il n'était pas surprenant de voir les gouvernements cibler des bases de données de plateformes technologiques.

"Nous supposons tous que cela se produit souvent. Mais cette poursuite est rarement évoquée", a déclaré Schneier.

Pas de match pour la Russie

M. Schneier a déclaré que l'on craignait depuis longtemps que des initiés chinois ou russes soient poussés à introduire des vulnérabilités dans les principales plates-formes logicielles, et que les entreprises pourraient être mal équipées pour faire échec à ces efforts.

"Le gouvernement russe contre Twitter n'est pas un combat loyal", a-t-il déclaré. "Il est difficile de blâmer les entreprises de technologie."

Les grandes entreprises technologiques ayant des ingénieurs du monde entier, Schneier a déclaré que cela permettait aux services d’intelligence de rechercher et de faire pression sur leurs expatriés à des fins d’espionnage.

L'affaire met en évidence le potentiel de menaces internes, a déclaré James Lewis du Center for Strategic and International Studies de Washington.

"Les menaces d'initiés remontent aux temps bibliques", a-t-il déclaré, soulignant que les suspects avaient probablement été arrêtés parce qu'ils "avaient fait un travail terrible en dissimulant leurs traces".

Vérification des antécédents suffisante?

Selon une inculpation non révélée mercredi, le citoyen américain Ahmad Abouammo et le ressortissant saoudien Ali Alzabarah ont été recrutés en 2014-2015 pour utiliser leurs positions sur Twitter afin d'accéder à des informations privées liées aux comptes-rendus des critiques de Riyadh.

Ahmed Almutairi, un responsable du marketing ayant des liens avec la famille royale, a joué un rôle crucial dans l’organisation des contacts, ont déclaré les procureurs.

Twitter a déclaré dans un communiqué qu'il limitait l'accès aux informations confidentielles de son compte "à un groupe restreint d'employés formés et contrôlés".

Mais John Dickson, ancien officier de la guerre de l’information de l’armée de l’air américaine, qui fait maintenant partie du cabinet de conseil en sécurité Denim Group, a déclaré que les sociétés privées, même dans la Silicon Valley, n’étaient pas équipées pour effectuer des vérifications des antécédents nécessaires à la recherche d’espions potentiels.

"La plupart des employeurs effectuent des vérifications superficielles des antécédents les plus évidents tels que les casiers judiciaires ou les faillites", a-t-il déclaré.

"Aucun d'entre eux ne fait semblant de vérifier l'historique des menaces pesant sur un État-nation."

Dickson a déclaré qu'il n'était pas clair si les plateformes technologiques étaient conscientes de la sensibilité des données qu'elles détenaient et du tirage de ces informations pour les services de renseignement.

"Ils agissent toujours en tant que sociétés de médias sociaux", a-t-il déclaré.

"Leur défaut est d’obtenir autant de connexions que possible et l’effet réseau améliore la plate-forme."

Shahbaz a déclaré que le dernier cas illustre la nécessité pour les réglementations de faire en sorte que les plateformes technologiques limitent le volume de données collectées et conservées.

"Le gouvernement pourrait jouer un rôle en termes de législation sur la confidentialité des données", a-t-il déclaré.

"Il est judicieux de collecter un minimum de données auprès des utilisateurs et de leur permettre de se retirer" de certains types de collecte de données.

Il a ajouté que les entreprises devraient également être tenues d'informer les victimes si leurs données ont été compromises "afin qu'elles puissent prendre des mesures pour se protéger".

© 2019 AFP