16
Meta, la société mère de WhatsApp, fait face à une action en justice de son ancien chef de la sécurité, Attaullah Baig, qui allègue qu’il a été repalé après avoir soulevé des inquiétudes concernant les défaillances systémiques de la sécurité et les violations juridiques potentielles. Le procès, déposé auprès du tribunal de district de la Californie du Nord, affirme que ces questions ont mis en danger les données des utilisateurs et ont pris le tour des règlements fédéraux américains et les engagements antérieurs envers les régulateurs.
Les plaintes de Baig se concentrent sur des violations présumées de la loi américaine sur Sarbanes-Oxley et les règles énoncées par la Securities and Exchange Commission (SEC), résultant d’un incapacité perçue à divulguer des vulnérabilités de sécurité importantes qui pourraient constituer une fraude aux actionnaires. Il affirme que le leadership de WhatsApp a répondu à ses rapports avec des revues de performances inexactes, ce qui a finalement conduit à son licenciement.
Un porte-parole de WhatsApp, faisant écho aux commentaires du chef des Meta Communications, Andy Stone, a rejeté les réclamations comme une tactique prévisible. « Malheureusement, il s’agit d’un livre de jeu familier dans lequel un ancien employé est rejeté pour une mauvaise performance, puis rend public avec des affirmations déformées qui dénouèrent le travail acharné en cours de notre équipe », a déclaré le porte-parole. «La sécurité est un espace contradictoire et nous sommes fiers de s’appuyer sur notre solide bilan de protection de la vie privée des gens.»
Cependant, le dossier de WhatsApp sur la confidentialité et la sécurité a été confronté à un examen minutieux ces dernières années. La société a été frappée par une amende de 225 millions d’euros (~ 265 millions de dollars) de la Irish Data Protection Commission (DPC) en 2021 et une amende ultérieure de 5,5 millions d’euros (~ 6,47 millions de dollars) de la DPC en 2023. Un rapport de 2024 de la Federal Trade Commission (FTC) a également trouvé les pratiques de confidentialité des grandes sociétés de médias sociaux, dont Meta, qui manquait. WhatsApp a récemment abordé une vulnérabilité zéro-jour affectant les clients iOS et MacOS.
Selon la plainte, Baig a découvert des «défaillances systémiques de cybersécurité» peu de temps après avoir rejoint WhatsApp en 2021. Grâce à des tests de sécurité, il aurait constaté qu’environ 1 500 ingénieurs WhatsApp possédaient un accès illimité à des données d’utilisateurs sensibles, avec la possibilité de copier ou de voler des informations sans trace d’audit. Cet accès, selon le procès, a violé les obligations de Meta en vertu d’une ordonnance de confidentialité de 2020 découlant du scandale de Cambridge Analytica.
Le procès détaille six questions spécifiques soulevées par Baig lors d’un 8 septembre 2022, une réunion, décrivant les violations potentielles des engagements de l’entreprise:
- Échec de l’inventaire adéquatement des données utilisateur.
- Incapacité à localiser et à énumérer les emplacements de stockage des données.
- Accès des données sans restriction accordé à 1 500 ingénieurs logiciels.
- Manque de surveillance de l’accès aux données des utilisateurs.
- Incapacité à détecter les violations de données.
- Un taux élevé de comptes, estimé à 100 000 par jour.
Baig aurait averti les dirigeants de WhatsApp, dont le PDG Will Cathcart et le chef de l’ingénierie Nitin Gupta, en octobre 2022 au sujet du potentiel de répercussions réglementaires similaires à celles confrontées par Twitter à la suite de la plainte dénonciée déposée par l’ancien chef de la sécurité, Peiter, «Mudge» Zatko. Il a continué à dégénérer ses préoccupations tout au long de 2023, face à la résistance de la direction.
Le 2 janvier 2024, Baig a envoyé une lettre au méta-PDG Mark Zuckerberg et à l’avocat général Jennifer Newstead, détaillant les violations potentielles des réglementations de la FTC et de la SEC, les représailles présumées et des preuves suggérant que l’équipe de sécurité avait falsifié des rapports pour cacher des risques d’exercice de données. Plus tard ce mois-ci, il a informé Gupta que Meta aurait fait de fausses déclarations au DPC irlandais concernant les limitations de l’accès des employés Meta aux données des utilisateurs de WhatsApp. Baig a par la suite déposé des plaintes auprès de la SEC en novembre 2024 et a informé Zuckerberg de la dénonciation de la SEC un mois plus tard.
WhatsApp a licencié l’emploi de Baig en février 2025. Ses avocats n’ont pas encore répondu aux demandes de commentaires. Le résultat de ce procès pourrait avoir des implications importantes pour les pratiques de sécurité des données de META et sa relation avec les régulateurs.