Un risque accru depuis le licenciement massif des collaborateurs
Selon les médias, Twitter aurait perdu entre 50et 80 % de son personnel en moins de quatre semaines. Cette perte massive de collaborateurs s’est produite de manière désorganisée, et a dépossédé des équipes essentielles (comme la sécurité, la modération et la confidentialité) de leurs membres ou les a laissées en sous-effectif. Cette seule perspective représente un risque énorme pour les utilisateurs de Twitter en termes de sécurité et de confidentialité de la plateforme et de ses données. Tout porte à croire la protection continue des utilisateurs, des systèmes et des données n’est plus assuré contre les cyberattaquants.Les risques liés à cette nouvelle situation sont doubles : premièrement, les cyberattaquants peuvent accroître leur utilisation de Twitter en tant que plateforme pour cibler les utilisateurs à des fins de spam, de phishing, d’escroquerie et autres types d’attaques. Deuxièmement, les cybercriminels peuvent potentiellement compromettre des systèmes et s’y introduire pour pouvoir collecter et voler des données.
Ce dernier point est particulièrement préoccupant, car la plateforme contient de nombreuses données sensibles et utiles. Par exemple, les DM (messages privés) de Twitter ne sont pas cryptés sur les serveurs ;or journalistes, militants et bien d’autres personnes encore utilisent cette messagerie privée depuis des années pour communiquer sur des sujets sensibles. Ainsi, toute personne capable d’accéder aux systèmes de Twitter sera en mesure de consulter ces informations et ces échanges. Twitter détient donc un grand nombre de données très sensibles qui intéressent les acteurs malveillants ; désormais, presque plus rien ne peut les empêcher d’accéder à ces informations tant convoitées.
Perte de confiance et remise en question de la part des utilisateurs
Le chaos et l’incertitude qui planent sur la vérification des comptes et la lutte contre la désinformation constituent un autre risque majeur depuis la prise de contrôle du réseau social par Elon Musk. Twitter a lancé une nouvelle offre Twitter Blue qui, pour 8 dollars permettait aux détenteurs de comptes d’obtenir le badge bleu de vérification que celui utilisé depuis des années pour aider les utilisateurs de Twitter à vérifier l’authenticité de comptes importants et populaires. Cette offre a été déployée tout en conservant les anciens badges de vérification du réseau social, ce qui a créé une véritable tempête mêlant confusion et activités malveillantes. En quelques jours seulement, cette offre a rendu presque impossible la différenciation entre les comptes légitimes, les parodies et les contrefaçons malveillantes. Si ce programme a depuis été suspendu puis relancé début décembre, il va sans dire que le mal est fait et que le mécanisme de vérification et de confiance des comptes Twitter est bel et bien détruit.En outre, ce problème en aggrave un autre : Twitter lutte depuis des années contre la désinformation sur sa plateforme. Avec ses problèmes d’effectifs, Twitter semble être dans une position encore plus faible pour combattre cet obstacle qui existe déjà depuis des années. Sans compter sur la destruction quasitotale du programme de vérification et la désinformation désormais omniprésente et il est difficile - voire impossible - pour les utilisateurs de discerner le vrai du faux.
Un avenir réglementaire et financier incertain
Le prochain sujet de préoccupation concerne la capacité et la volonté de Twitter de respecter les réglementations gouvernementales, tel que le RGPD. Les risques relatifs à cette interrogation sont encore inconnus, car c’est la première fois qu’une plateforme aussi importante soit susceptible de ne pas être en conformité avec des réglementations majeures de manière aussi rapide. Alors que les instances de réglementation suivent généralement un processus très méthodique, la nature de cette situation est telle qu’il est possible que des mesures d’application considérables soient mises en place soudainement. La fuite de données récemment médiatisée concernant 235 millions d’utilisateurs du réseau social illustre parfaitement cette préoccupation. En effet, Twitter n’a, à ce jour, prévenu aucune victime, ce qui est pourtant une obligation du RGPD.La situation financière de Twitter présente un risque similaire. Elon Musk lui-même a indiqué que Twitter se trouve actuellement en sérieuse détresse financière, une situation que le manque de personnel vient aggraver. Par ailleurs, selon certain sources, Twitter ne disposerait plus de personnel pour superviser le paiement des impôts. Cette situation concerne un autre aspect des préoccupations réglementaires, car les gouvernements peuvent prendre des mesures draconiennes en cas de non-paiement des impôts.
Entre la situation réglementaire et la situation financière, il est clair qu’il existe un certain nombre de facteurs de risque qui pourraient entraîner la disparition soudaine et inattendue du réseau social. La question est donc de savoir si Twitter ou son accès pourraient soudainement être fermés par l’une ou l’autre de ces instances.
Une autre question essentielle découle de la situation financière actuelle de Twitter : si le réseau social devait échouer en tant qu’entreprise et faire faillite, qu’adviendrait-il des données et des systèmes qu’il détient ? Seraient-ils vendus dans le cadre de la liquidation ? Les bailleurs de fonds pourraient-ils se les approprier et les contrôler ? Une fois encore, il est impossible, à ce jour, d’apporter une réponse.
En définitive, la situation globale chez Twitter peut être qualifiée de « chaotique ». Les décisions prises trop rapidement, annulées et modifiées altèrent l’identité et l’essence même de Twitter de jour en jour, ce qui rend l’évaluation des risques presque impossible. Dans cet environnement les cybercriminels sont nettement avantagés. Dans ce climat incertain, il est plus prudent d’envisager directement le pire : c’est-à-dire, supposer que la sécurité et la confidentialité de Twitter diminueront de manière significative, afin que chacun puisse prendre les mesures adéquates pour protéger ses données.
Par Christopher Budd, Responsable senior de la recherche sur les menaces chez Sophos Technology Group