«Mudge», le joker de Musk qui pourrait faire perdre Twitter

Connu et respecté dans le milieu de la cybersécurité, l’ex-chef de la sécurité de Twitter Peiter Zatko fait figure d’aubaine pour Elon Musk dans l’affaire qui l’oppose au réseau social, même si la portée des accusations du lanceur d’alerte reste à démontrer.

Surnommé «Mudge», l’informaticien de 51 ans doit répondre mardi aux questions d’une commission du Sénat sur son rapport remis aux autorités cet été. Il y reproche à Twitter d’avoir dissimulé des failles dans son système de sécurité et menti sur sa lutte contre les faux comptes.

Du pain béni pour Elon Musk: le patron de Tesla brandit depuis des mois la question de la proportion de comptes inauthentiques pour justifier l’abandon de son projet de rachat de Twitter pour 44 milliards de dollars.

L’intervention de «Mudge» a ouvert une «boîte de Pandore» pour l’entreprise de San Francisco, estime Dan Ives, analyste chez Wedbush Securities. «Jusqu’au développement Zatko, Wall Street donnait Twitter gagnant» lors du procès prévu pour octobre devant un tribunal spécialisé.

En cas de victoire de l’oiseau bleu, la juge pourrait infliger plusieurs milliards de dollars de dommages et intérêts à l’homme le plus riche du monde, voire le forcer à honorer son coûteux engagement selon les termes de l’accord passé en avril.

«Si Mudge dit que Twitter a des problèmes de cybersécurité, Twitter a de gros problèmes», a déclaré Aaron Turner, le directeur technologique de Vectra, une société californienne de cybersécurité, qui dit connaître le lanceur d’alerte depuis les années 1980.

Fils de deux scientifiques, Peiter Zatko a grandi en Alabama et en Pennsylvanie, partageant son temps entre la musique et l’informatique. En 1996, il rejoint un collectif de hackers baptisé L0pht, avec qui il témoigne devant le Congrès deux ans plus tard. «C’était la première fois que le gouvernement américain citait des hackers dans un contexte positif», a-t-il raconté en mai 2019 sur Twitter.

Sa photo de profil le montre à cette époque, évoquant Jésus avec ses cheveux longs et une auréole de lumière. Il a ensuite occupé différents postes chez Google et Stripe (entreprise de services de paiement en ligne), puis au Darpa, l’agence de recherche du Pentagone.

Jack Dorsey, le fondateur et ancien patron de Twitter, l’a recruté en juillet 2020 après un spectaculaire piratage des comptes de célébrités et personnalités politiques (dont Barack Obama, Elon Musk et Kim Kardashian).

En janvier 2021, l’équipe de transition de Joe Biden lui offre le poste de directeur de la sécurité à la Maison-Blanche. Il refuse, estimant qu’il a encore du travail à accomplir pour le réseau social, d’après ses avocats.

Mais il est remercié en janvier 2022 en raison «d’un leadership inefficace et de mauvaises performances», selon Twitter. «Faux», selon ses avocats. Selon eux, Mudge a été saqué après une confrontation avec la direction (dont l’actuel patron, Parag Agrawal), qui aurait refusé d’admettre les problèmes de sécurité signalés par le cadre.

En donnant l’alerte, «il a mis sa carrière en jeu à cause de ses inquiétudes pour les utilisateurs de Twitter, le public et les actionnaires», affirment-ils.

«Ceux de l’industrie qui connaissent Mudge savent que, historiquement, ses intentions ont été honorables, apolitiques et bienveillantes», assure Andrew Hay, directeur des opérations du cabinet de consultants en cybersécurité Lares Consulting. Fin juin, Twitter a accepté de payer plus de 7 millions de dollars d’indemnités de licenciement à Peiter Zatko.

D’après le Wall Street Journal, il a signé un accord de confidentialité qui ne couvre pas une éventuelle intervention en tant que lanceur d’alerte.

Quelques jours plus tard, l’ingénieur envoie son rapport aux autorités où il évoque directement les questions posées par Elon Musk sur les comptes automatisés. Il mentionne des déclarations «trompeuses» de Parag Agrawal et affirme que les outils de Twitter sont «datés» et les équipes «débordées» et «inefficaces». Il dénonce aussi des «défaillances graves et choquantes (de cybersécurité), de l’ignorance volontaire et des menaces à la sécurité nationale et à la démocratie».

Des allégations dommageables, mais pas forcément rédhibitoires, d’après différents analystes. «Ce ne sont toujours pas des preuves que Twitter a déformé les chiffres», remarque Jasmine Enberg, d’Insider Intelligence. «Cela démontre plutôt un potentiel manque d’intérêt des cadres de Twitter pour la lutte contre les bots».

Les avocats d’Elon Musk vont «essayer de prouver que Twitter a essayé de lui vendre un château de cartes en toute connaissance de cause», commente Adam Badawi, professeur de droit à l’Université de Berkeley. Mais «il faudrait que ces vulnérabilités (de sécurité) soient vraiment, vraiment graves».