Passer au contenu

Le code source de Twitter partagé sur GitHub : un risque majeur pour les utilisateurs ?

Un ex-employé un peu rancunier aurait partagé le code-source de Twitter sur la plateforme de développeurs GitHub. Si le contenu a déjà été supprimé, cette fuite pourrait permettre aux hackers d’exploiter les failles du réseau. Pour compromettre les données personnelles ?

Twitter continue de se noyer dans un maelström de soucis techniques et humains. Dans un contexte où Elon Musk a divisé le nombre d’employés par quatre, un ou plusieurs de ceux qui ont été remerciés ont eu l’idée de publier une partie du code source de la plateforme de micro-blogging sur GitHub. Plateforme de développement collaboratif appartenant à Microsoft, GitHub est un outil prisé des programmeurs. Et la partie du code source publiée sous le pseudo « FreeSpeechEnthusiast », en référence au rôle de chevalier blanc que Elon Musk aime endosser, a pu être consultée et téléchargée a priori pendant plusieurs jours, voire semaines puisque le profil a été créé début janvier.

Nos confrères du New York Times ont pris connaissance de cette information par le biais d’une procédure légale de violation de droits d’auteur que Twitter a adressé à GitHub. L’outil pour les développeurs dispose, comme plusieurs entreprises de la tech, d’une page faisant état de la réception de telles demandes (des requêtes dites DMCA). Depuis le début de la procédure vendredi 24 mars dernier, l’accès aux données a été rendu indisponible. Mais le mal est fait.

Double mauvais timing

Application Twitter

L’annonce de cette publication illégale d’une partie du code de Twitter arrive à un très mauvais moment pour le réseau social – qui n’a guère eu de bons moments depuis le rachat par Elon Musk, il est vrai. D’une part, la fuite récente d’une note interne montre qu’Elon Musk ne valorise plus Twitter qu’à 20 milliards de dollars, plus de deux fois moins que la valeur à laquelle il l’a racheté (44 milliards de dollars).

D’autre part, saigné de ses développeurs, Twitter ne semble pas armé pour faire face à une attaque d’ampleur. En dépit des bravades de son nouveau propriétaire, le site connaît depuis des mois d’importants soucis techniques. Or, pour un hacker, le code source – c’est-à-dire la recette et les dessous d’un programme – sont du pain béni pour détecter et apprendre à exploiter des failles de sécurité. Et dans le cas de Twitter, qui a déjà connu de nombreux soucis de sécurité par le passé, le manque de personnel est un facteur aggravant.

À lire aussi : Hack de Twitter : 36 comptes ont été victimes du vol de leurs messages privés (juillet 2020)

À lire aussi : Hack de Twitter : plus de 1 000 employés avaient accès à l’interface de gestion des comptes (juillet 2020)

À lire aussi : Les données de 400 millions de comptes Twitter ont été piratées (décembre 2022)

Elon Musk n’est évidemment pas content. Ce d’autant plus que l’enquête a lieu dans un contexte assez unique dans l’histoire d’une entreprise de la tech comme Twitter : le caractère massif de la campagne de licenciement complique le travail et remonter les traces pourrait s’avérer très difficile.

Comment identifier le fautif parmi 5 500 personnes ?

Twitter cible

En temps normal, identifier un employé mal intentionné qui vole des données et les publie est théoriquement assez facile : il suffit de consulter les fichiers d’activité (les fichiers dits « de log ») d’accès et de copie aux fichiers du serveur. Une opération triviale sur le papier, la plupart des systèmes collaboratifs traquant en effet les activités de tous les utilisateurs. Le hic pour l’enquête, c’est que ce vol de données – car c’est bien un vol – a été effectué en pleine saignée des effectifs. Selon les chiffres issus de différents croisements effectués par la presse, ce seraient 75% des 7 500 employés du Twitter pré-Musk qui ont été remerciés – soit plus de 5 500 personnes. Une purge qui a mené à une longue période de chaos avec un support technique à la dérive, des développeurs démissionnaires ou encore des gens virés sans l’être vraiment (mais finalement si). Bref, un capharnaüm total. Un événement très rare dans l’industrie de la tech qui pourrait compromettre la recherche du ou des fautifs. On peut ainsi imaginer l’impossibilité totale de remonter aux administrateurs système. Car si ceux-ci sont coupables, ils avaient dans leurs mains tous les moyens et les autorisations techniques pour effacer leurs traces, remettre les compteurs à zéro, etc.

Ce risque de chaos total qu’un seul employé peut faire courir à une entreprise de logiciel comme Twitter (ou Microsoft, Apple, etc.) est une des raisons de la « violence » des procédures de licenciements de la tech. De très nombreux témoignages autour des licenciements de Twitter font cas de coupure d’accès totale aux ordinateurs et aux services (emails, messagerie interne, etc.) parfois plusieurs jours avant même d’apprendre le licenciement de manière officielle. Mais dans le cas de Twitter, la combinaison de cette violence, à l’ampleur de la réduction des effectifs et au mépris dont Elon Musk a fait montre, semble avoir été complètement contreproductive. Et dangereuse à la fois pour Twitter et les utilisateurs. Des utilisateurs dont les données personnelles sont peut-être en train d’être compromises en ce moment même…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : New York Times