Depuis qu'Elon Musk a racheté Twitter à la fin du mois d'octobre, l'entreprise n'a cessé d'être perturbée et de susciter des controverses, qu'il s'agisse de licenciements et de démissions massifs d'employés ou d'atteintes à la réputation dues aux tweets imprudents et souvent bizarres du milliardaire. Aujourd'hui, l'inquiétude croissante suscitée par une éventuelle violation de données résultant d'un défaut de Twitter, désormais corrigé, est sur le point d'entraîner l'entreprise dans sa chute, à moins que Twitter ne prenne rapidement des mesures.

Alors que les régulateurs européens commencent à enquêter sur ce qui semble être une violation massive des données de Twitter, le réseau social et son CEO n'ont fait aucun commentaire public sur l'étendue réelle de cet incident. Selon les experts, si Twitter ne prend pas les devants, n'informe pas les régulateurs des faits et n'informe pas les utilisateurs de la quantité d'informations publiques et privées qui ont été exposées, l'entreprise pourrait subir de graves conséquences financières et opérationnelles.

Retour sur la chronologie des événements

Comme les plateformes du dark web, le cadre qui entoure la violation des données de Twitter est obscure. Le cauchemar a commencé en juillet lorsqu'un acteur connu sous le nom de « Devil » a mis en vente, sur un forum de données piraté, une base de données de numéros de téléphone et d'adresses électroniques appartenant à 5,4 millions de comptes Twitter. Devil a exigé un paiement de 30 000 dollars pour ces données et a prétendu les avoir subtilisées via une vulnérabilité divulguée à Twitter le 1er janvier 2022. La firme a corrigé la faille le 13 janvier 2022. Elle affectait les utilisateurs d'Android et accordait quiconque, sans authentification, d'obtenir un identifiant Twitter pour n'importe quel utilisateur en soumettant un numéro de téléphone ou une adresse électronique, même si l'utilisateur interdisait cette action dans le paramètre de confidentialité. Environ un mois après la publication de Devil, Twitter a confirmé qu'un acteur malveillant avait tiré parti de la vulnérabilité et a déclaré qu'il enverrait des avis aux propriétaires de comptes touchés par la violation.

Les données contenant les données des 5,4 millions d'utilisateurs ont été publiés gratuitement le 27 novembre 2022. Cependant, une autre base de données contenant prétendument des détails sur 17 millions d'utilisateurs circulait également en privé en novembre. Puis, fin décembre, Alon Gal, cofondateur et directeur technique de la société israélienne de renseignement sur la cybercriminalité Hudson Rock, a repéré sur un forum criminel sur les violations de données un message d'un utilisateur appelé « Ryushi » proposant de vendre les e-mails et les numéros de téléphone de 400 millions d'utilisateurs de Twitter. Après traitement, Alon Gal a déclaré que le chiffre initial de 400 millions d'utilisateurs comprenait des doublons. Toutefois, la violation reste l'une des « plus importantes » qu’il n’ait jamais vues.

Troy Hunt, qui dirige le site de signalement des violations de données HaveIBeenPwned, dit avoir trouvé 211,5 millions d'adresses électroniques uniques dans la base de données divulguée. Il est possible qu'un autre acteur de la menace ait publié un ensemble de données comprenant 200 millions de profils Twitter sur le forum de piratage Breached pour huit crédits de la monnaie du forum, d'une valeur d'environ 2 dollars.

Des pirates s'emparent des comptes Twitter de célébrités et de personnalités publiques

Pendant les vacances de fin d'année et peu après le Nouvel An, les comptes Twitter de célébrités très en vue au Royaume-Uni, en Inde et en Australie ont été piratés. Parmi les profils piratés figurent ceux du commentateur de télévision Piers Morgan, de la secrétaire britannique à l'éducation Gillian Keegan, du secrétaire d'Irlande du Nord Chris Heaton-Harris, du chanteur Ed Sheeran et de la star de la télévision indienne Salman Khan.

Bien qu'il soit possible que ces piratages n'aient aucun rapport avec les échantillons de fichiers publiés par Ryushi, Alon Gal pense qu'ils sont liés. « Ce n'est probablement pas une coïncidence : la révélation de l'adresse électronique peut avoir été juste ce dont le pirate avait besoin pour trouver des mots de passe pour le compte, ou pour faire de l'ingénierie sociale à sa façon », a déclaré Alon Gal dans un tweet.

Les experts estiment que Twitter doit faire la lumière sur cette affaire

Alors que les rapports contradictoires sur l'intrusion de Twitter continuent de s'accumuler, les experts en cybersécurité demandent à Musk de dissiper la confusion. Brian Krebs, journaliste spécialisé dans la cybersécurité, a déclaré dans un tweet : « Hé, @elonmusk, puisque vous ne semblez plus avoir d'équipe médias/comms, pouvez-vous répondre à l'affirmation apparemment légitime selon laquelle quelqu'un a récupéré et vend maintenant les données de centaines de millions de comptes Twitter ? Peut-être que cela ne s'est pas produit sous votre surveillance, mais vous devez une réponse à Twitter ». Alon Gal déclare ainsi : « Twitter n'a pas reconnu cette violation, et c'est une honte. Ils devraient la reconnaître dès que possible, afin que les utilisateurs soient alertés des risques auxquels ils sont maintenant confrontés. J'exhorte les utilisateurs de Twitter à changer de mot de passe et à se méfier des tentatives de phishing, et je demande à Twitter de reconnaître cette violation dès que possible ».

Douglas J. McNamara, associé du département de protection des consommateurs de Cohen Milstein, déclare à l'OSC qu'il suppose que Twitter « s'est engagé et a examiné certaines de ces questions. Mais il se peut qu'ils ne le fassent pas publiquement, et qu'ils ne veuillent pas partager cela avec tout le monde ». Mais en ce qui concerne la loi aux États-Unis, « c'est un peu flou », précise Douglas J. McNamara, étant donné les différences entre les lois des États autour des notifications de violation. « Il faudrait voir qui se trouve à l'intérieur, quelles sont les IPI [informations personnelles identifiables]. S'agit-il du type de DPI qui déclencherait une obligation de déclaration [en vertu de l'analyse typique du risque de préjudice exigée par les lois étatiques sur la notification des violations de données] ? »

De plus, à ce stade, « on ne sait pas vraiment s'il s'agit de deux violations différentes, ou si quelqu'un a utilisé des scripts pour extraire ces informations et les ajouter à ce qui existait déjà en les mélangeant ou si quelqu'un a acheté différentes choses sur le dark web et les a assemblées. Ce n'est tout simplement pas clair », indique Douglas J. McNamara. « Dire que c'est flou est un euphémisme ». Mais il ajoute que, du point de vue de la bonne gouvernance d'entreprise, Twitter serait en meilleure position s'il faisait preuve de transparence. « Si je me souciais de mes clients, la première chose que je ferais serait de vérifier si c'est légitime ou non, puis d'apaiser leurs inquiétudes ». Peu importe que la violation de données ait précédé le mandat de Musk en tant que propriétaire de Twitter, il doit tout de même y faire face de manière responsable. « Il a acheté l'entreprise. Il a acheté la responsabilité », ajoute-t-il.

Les régulateurs européens sur le pont

Même si Twitter devait se consoler en se disant que la violation de données est pour l'instant insaisissable au regard des lois des États américains, les réglementations européennes pourraient lui infliger le plus de dommages. Les Cnil européennes disposent d'un plus large éventail de facteurs à analyser pour déterminer si et dans quelle mesure Twitter doit assumer une responsabilité liée à la violation. Le 23 décembre 2022, avant même que l'on apprenne que les données de centaines de millions d'utilisateurs de Twitter avaient pu être exposées, la Commission irlandaise de protection des données (DPC) a lancé une enquête sur l'incident initial concernant 5,4 millions d'utilisateurs de Twitter. La DPC a déclaré que Twitter avait fourni plusieurs réponses à ses questions et pense que la société pourrait avoir manqué une ou plusieurs dispositions du règlement général sur la protection des données (RGPD) de l'UE.

Amy Worley, directrice générale et avocate générale associée chez Berkeley Research, explique au CSO que « le RGPD comporte des exigences très strictes en matière de notification des violations de données. Il a également une définition très large de ce qu'est une violation de données. Elle est donc beaucoup extensive que ce qui existe dans la plupart des lois américaines ». Amy Worley précise que « le RGPD ne se limite pas aux préjudices économiques comme l'ont interprété les lois américaines. Ainsi, la vie privée est un droit fondamental dans l'UE, et elle est liée aux droits et libertés des personnes concernées ». En vertu du règlement européen sur la protection des données, les entreprises ont 72 heures pour notifier une violation de données et doivent signaler les changements significatifs dans leurs évaluations du nombre d'utilisateurs affectés. « S'ils pensent qu'une entreprise ne fait qu'ignorer ou bafouer la loi, alors l'entreprise est susceptible d'avoir des problèmes pour cela », explique Amy Worley. Les amendes prévues par le RGPD peuvent atteindre jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise, bien que ce niveau d'amende soit rare.

« Il ne s'agit pas seulement d'un préjudice économique »

Ce qui devrait peut-être inquiéter encore plus Twitter, c'est que l'Union européenne pourrait l'obliger à cesser effectivement ses activités en Europe si des preuves d'une violation flagrante émergent. « L'UE peut également révoquer leur capacité à traiter les données des résidents européens », poursuit Amy Worley, ajoutant : Ils ont également la capacité d'arrêter les transferts internationaux de données sur Internet. Et [l’UE] a la capacité de dire : « Vous n'êtes pas autorisé à traiter les données personnelles des résidents européens ».

Son conseil à Twitter ou à toute organisation se trouvant dans des circonstances similaires est le suivant : « Comprenez ce qui s'est passé aussi rapidement que possible. Ensuite, soyez vraiment attentif à cette analyse. Cela est-il raisonnablement susceptible d'avoir un impact sur les droits et libertés de la personne concernée ? Comprenez la manière complète dont l'UE interprète cela. Il ne s'agit pas seulement d'un préjudice économique ».