Les immenses bases de données des géants des technologies sont des cibles de choix pour les services de renseignement, prêts à faire pression sur les employés de ces entreprises.
Deux anciens employés de Twitter et un Saoudien ont ainsi été inculpés aux Etats-Unis pour avoir fourni à Ryad des informations sur des utilisateurs du réseau social critiques envers la famille royale saoudienne, a annoncé mercredi la justice américaine.
Cette affaire « montre que les données ne sont pas seulement un atout mais aussi un fardeau pour les sociétés », commente Adrian Shahbaz, directeur de recherche chez Freedom House, une ONG de défense des droits humains. « Elles collectent des volumes de données confidentielles très importants, et doivent les protéger des hackers mais aussi des potentiels employés corrompus. »
Les grandes plateformes constituent un outil important pour les militants politiques, mais « c’est alarmant de voir comment les gouvernements cherchent à exploiter les faiblesses d’internet (…) pour s’attaquer aux personnes qui expriment un désaccord », remarque-t-il.
« Il y a un jeu du chat et de la souris en permanence entre les utilisateurs et des gouvernements avec beaucoup plus de moyens et de ressources », constate Adrian Shahbaz.
Bruce Schneier, chercheur en sécurité à l’université de Harvard, n’est pas surpris que des gouvernements ciblent les bases de données des réseaux sociaux.
« On part tous du principe que cela se produit très souvent. Mais ce genre d’inculpation survient rarement », admet-il.
– « Pas équitable » –
Les grandes entreprises de la Silicon Valley emploient des personnes venues du monde entier, et les experts craignent de longue date que la Chine ou la Russie, notamment, ne fassent pression sur des employés pour qu’ils introduisent des failles dans les logiciels, à des fins d’espionnage.
« Face au gouvernement russe, Twitter ne fait pas le poids. Ce n’est pas équitable », note Bruce Schneier. « Difficile d’en vouloir aux entreprises. »
L’affaire révélée cette semaine met en lumière la menace interne qui pèse sur les groupes, vulnérables à cause de leur grande taille.
Même si dans ce cas, les suspects ont probablement été attrapés parce qu’ils ont été « très mauvais à effacer leurs traces », selon James Lewis du Center for Strategic and International Studies à Washington.
Ali Alzabarah, un Saoudien de 35 ans et Ahmad Abouammo, un Américain de 41 ans, sont accusés d’avoir utilisé leur statut d’employé de Twitter pour se procurer les adresses e-mail ou IP, les numéros de téléphone ou encore les dates de naissance de comptes Twitter et d’avoir transmis ces données à Ryad.
Le premier a fourni en 2015 des données sur au moins 6.000 comptes, notamment d’un opposant à la famille royale saoudienne réfugié au Canada, selon l’acte d’accusation. Le second aurait espionné plusieurs comptes entre la fin 2014 et début de 2015, en échange d’une montre de luxe et d’au moins 300.000 dollars.
Le troisième suspect, Ahmed Almutairi, un ressortissant saoudien âgé de 30 ans, est accusé d’avoir servi d’intermédiaire entre les deux hommes et le gouvernement de son pays.
– « Vérifications sommaires » –
« Nous sommes conscients des efforts déployés par des acteurs néfastes pour essayer d’attaquer notre service », a réagi un porte-parole de Twitter. « Nous limitons l’accès aux informations sensibles à un nombre limité d’employés. »
Mais d’après John Dickson, ancien officier de l’armée de l’air américaine, aujourd’hui employé par le cabinet de consultants en sécurité Denim Group, les entreprises privées, leaders dans les technologies ou non, ne sont pas équipées pour mener à bien des contrôles suffisamment poussés et repérer de potentiels espions.
« La plupart des employeurs ne font que des vérifications sommaires, comme l’extrait de casier judiciaire ou d’éventuelles faillites passées », constate-t-il. « Aucun n’aborde de près ou de loin les menaces contre la nation. »
« Ils se comportent encore comme des entreprises de réseaux sociaux, où le but d’établir est d’établir le plus de connexions possibles pour optimiser la plateforme », ajoute-t-il.
Adrian Shahbaz prône une régulation plus stricte, qui limite le nombre et la variété de données collectées et conservées : « C’est sans doute au gouvernement (américain) d’intervenir avec une loi qui protègerait les données privées. »
GIPHY App Key not set. Please check settings