Le réseau social Twitter fait l’actualité depuis des mois. Dernier épisode en date, un rapport rédigé par un ancien employé, Peiter Zatko, expert en sécurité, licencié en janvier dernier, liste un ensemble d’accusations de mauvaises pratiques informatiques de la part de Twitter. Les informations sont publiées par CNN et le Washington Post.
Des actions non tracées sur la plateforme de production
Les pratiques dénoncées concernent à la fois l’absence de maîtrise des actions des informaticiens sur la plateforme logicielle en production, des défauts dans la continuité d’activité et dans la traçabilité des tâches effectuées. Selon Peiter Zatko, Twitter donne à des milliers de personnes de l’entreprise – soit environ la moitié des employés – l’accès à certains des contrôles critiques de la plate-forme.
Le lanceur d’alerte indique qu’il a rapidement appris qu’il était impossible de protéger l’environnement de production. Tous les ingénieurs y avaient accès. Il n’y avait pas d’enregistrement de qui est allé dans l’environnement ou de ce qu’il a fait. Toujours selon Peiter Zatko, personne ne savait où étaient les données ou si elles étaient critiques, et tous les ingénieurs disposaient d’une forme d’accès critique à l’environnement de production. Twitter a en outre peu de contrôle ou de visibilité sur les PC des employés. Un rapport interne estime que 4 appareils sur 10 ne répondent pas aux normes de sécurité de base.
Des logiciels obsolètes sur les serveurs de Twitter
Côté continuité d’activité et protection contre les cyber-attaques, environ la moitié des 500 000 serveurs de la société fonctionnent sur des logiciels obsolètes qui ne prennent pas en charge les fonctionnalités de sécurité de base telles que le cryptage des données stockées ou les mises à jour de sécurité régulières par les fournisseurs.
La société manque également de redondances et de procédures suffisantes pour redémarrer ou récupérer après une panne de Data Center. Enfin, Twitter ne supprimerait pas de manière fiable les données des utilisateurs après qu’ils ont supprimé leurs comptes, dans certains cas parce que l’entreprise a perdu la trace des informations.