La justice américaine poursuit deux ex-employés de Twitter pour espionnage au profit de l’Arabie saoudite. Ils auraient profité de leur position dans l’entreprise pour accéder aux données personnelles de milliers de membres du réseau social, dont des opposants au régime.
L’affaire est particulièrement gênante pour Twitter. Aux États-Unis, deux anciens employés du réseau social sont poursuivis en justice parce qu’ils sont soupçonnés d’avoir agi pour le compte d’une puissance étrangère, en l’occurrence l’Arabie saoudite, rapporte le Washington Post le 6 novembre. Les deux suspects, un Américain et un Saoudien, auraient profité de leur position dans la société pour espionner des membres du site communautaire, en particulier des opposants au régime de Riyad.
Bien que cette opération d’espionnage se soit déroulée dans un temps plutôt bref, entre fin 2014 et le printemps 2015, elle a permis de cibler des milliers d’individus, d’après David L. Anderson, le procureur pour le nord de la Californie. Il est reproché aux deux hommes d’avoir « exploité les systèmes internes de Twitter pour obtenir des informations personnelles ». Le suspect américain n’aurait visé que 3 profils, mais son ex-collègue saoudien en aurait, lui, ciblé plus de 6 000.
Une seule arrestation
Cependant, seul un des deux individus a pu être interpellé par les autorités. Il s’agit de l’Américain, lorsqu’il se trouvait à Seattle. Il officiait chez Twitter comme responsable des partenariats avec les médias. Le Saoudien, lui, travaillait comme ingénieur missionné pour garantir la fiabilité du site. Il se trouverait aujourd’hui en Arabie saoudite et, si c’est le cas, il est extrêmement improbable de penser que Riyad accepte d’extrader l’un de ses nationaux — cette posture s’est vue lors de l’affaire Jamal Khashoggi.
Les autorités américaines soupçonnent également un troisième individu d’être impliqué dans cette affaire. Celui-ci, de nationalité saoudienne, ne travaillait pas pour Twitter, mais aurait servi d’intermédiaire entre le gouvernement saoudien et les deux taupes. Poursuivi du même chef d’accusation d’espionnage, il se trouverait lui aussi quelque part dans le royaume wahhabite. Là encore, la perspective d’une arrestation et d’une extradition vers les USA semble illusoire.
« Nous ne permettrons pas que les entreprises américaines ou la technologie américaine deviennent des outils de répression étrangère en violation de la loi américaine », a réagi David L. Anderson. Surtout, l’affaire pose la question de la manière dont Twitter protège les données de ses membres et de quelle façon elle déploie des garde-fous pour éviter des abus en interne, avec des employés profitant de leurs privilèges techniques pour accéder à des informations qui devraient rester hors de leur portée.
Cloisonnement insuffisant ?
En principe, Twitter a des procédures internes pour cloisonner les accès. C’est ce qu’a confirmé un porte-parole du groupe au Washington Post : « Nous comprenons les risques incroyables auxquels font face de nombreuses personnes qui utilisent Twitter pour partager leurs points de vue avec le monde et demander des comptes à ceux qui sont au pouvoir. Nous avons des outils en place pour protéger leur vie privée et leur capacité d’accomplir leur travail essentiel ».
Cependant, il n’en demeure pas moins que le réseau social est susceptible d’accéder, dans des cas particuliers, à des données sensibles. Cela peut se justifier dans des cas où il y a des demandes dans le cadre d’enquêtes judiciaires ou administratives par exemple, où en cas de péril imminent, comme une menace de suicide. En principe, ces accès sont restreints « à un groupe limité d’employés formés et contrôlés ». De toute évidence, les mailles étaient trop lâches.
Numerama