Ce que le dénonciateur de Twitter pourrait signifier pour l’accord de rachat d’Elon Musk
Les efforts d’Elon Musk pendant des mois pour acheter – puis pour cesser d’acheter – Twitter a été marqué par une série de rebondissements inattendus. Maintenant, une révélation étonnante de dénonciateur de l’ancien responsable de la sécurité de l’entreprise, Peiter Zatko, est presque certaine de devenir la dernière complication.
Dans le cadre d’une vaste divulgation de près de 200 pages envoyée le mois dernier aux législateurs et régulateurs américains, qui a été exclusivement rapportée par CNN et le Washington Post mardi, Zatko allègue que Twitter n’a ni l’incitation ni les ressources pour mesurer correctement le plein portée des bots sur sa plateforme. Il allègue également que Twitter souffre d’une série d’autres vulnérabilités de sécurité qu’il n’a pas réussi à corriger pendant des années. (Twitter s’est largement défendu et a critiqué les allégations de Zatko comme « criblées d’incohérences et d’inexactitudes ».)
Musk, qui a d’abord a dit il voulait « vaincre les robots spammeurs » après avoir acheté Twitter, puis a sonné l’alarme que la société pourrait sous-déclarer considérablement le nombre de spams et de faux comptes, bien qu’il ait peu de preuves apparentes au-delà de sa propre expérience sur la plate-forme pour étayer l’affirmation . Il a placé la question au cœur de la lutte juridique contre l’acquisition de 44 milliards de dollars, alors même que Twitter affirme que Musk tente simplement de se retirer d’un accord pour lequel il a maintenant les remords de l’acheteur dans un contexte de ralentissement du marché.
De nombreux experts en droit des fusions ont précédemment déclaré que Twitter disposait de l’argument juridique le plus solide dans cette affaire. Les experts ont également déclaré que le succès de l’argument du bot de Musk dépendra probablement de la mesure dans laquelle le juge de la Delaware Chancery Court souhaite concentrer l’affaire sur le libellé spécifique du contrat – qui ne mentionne pas les bots – plutôt que d’autoriser les arguments plus tangentiels du milliardaire.
Mais la nouvelle divulgation pourrait aider à renforcer l’argument de Musk et potentiellement encourager le tribunal à accorder une plus grande attention au problème des bots. De plus, l’équipe juridique de Musk pourrait tenter de saisir d’autres allégations dans la divulgation sans rapport avec les bots – y compris des allégations selon lesquelles Twitter aurait fait de fausses déclarations aux régulateurs tels que la Federal Trade Commission et la Securities and Exchange Commission au sujet de ses pratiques de confidentialité et de sécurité – comme raisons supplémentaires pour lesquelles il devrait être en mesure de s’éloigner de l’accord.
« Pendant des années, à travers de nombreuses déclarations publiques et [SEC] dépôts, Twitter a fait des fausses déclarations et des omissions importantes … concernant la sécurité, la confidentialité et l’intégrité », déclare Zatko. « Les fausses déclarations de Twitter sont particulièrement percutantes, étant donné qu’elles sont directement en cause dans le rachat envisagé de l’entreprise par Elon Musk.
Zatko, mieux connu sous le nom de « Mudge », est un éminent pirate éthique devenu responsable de la cybersécurité dont la carrière comprenait également des arrêts chez Google et le ministère de la Défense. Il a été embauché en tant que responsable de la sécurité de Twitter à la suite d’un piratage majeur de l’entreprise en 2020 et licencié en janvier de cette année, une décision qui, selon lui, est intervenue après avoir tenté de dénoncer en interne des failles de sécurité et des fraudes présumées par les hauts dirigeants de l’entreprise.
Sa divulgation brosse le tableau d’une entreprise en proie à des vulnérabilités de sécurité qui menacent les données des utilisateurs et les fonctionnalités de la plate-forme, et qui, selon lui, pourraient mettre en danger la sécurité nationale des États-Unis. Zatko allègue également que les hauts dirigeants de Twitter ont induit en erreur les utilisateurs, les régulateurs et même le propre conseil d’administration de l’entreprise sur l’état de la sécurité de ses informations. « Veuillez ouvrir une enquête sur les violations de la loi par Twitter », indique la divulgation.
Un porte-parole de Twitter a déclaré dans une déclaration à CNN en réponse à la révélation que Zatko avait été licencié pour « leadership inefficace et mauvaise performance ».
« Ce que nous avons vu jusqu’à présent est un faux récit sur Twitter et nos pratiques de confidentialité et de sécurité des données qui est truffé d’incohérences et d’inexactitudes et manque de contexte important », a déclaré le porte-parole. « Les allégations et le timing opportuniste de M. Zatko semblent conçus pour attirer l’attention et nuire à Twitter, à ses clients et à ses actionnaires. La sécurité et la confidentialité sont depuis longtemps des priorités à l’échelle de l’entreprise chez Twitter et continueront de l’être. »
Le PDG de Twitter, Parag Agrawal, a écrit mardi une note interne aux employés, obtenue par CNN, s’engageant à contester les allégations contenues dans la divulgation et cherchant à rassurer les employés, qualifiant les allégations de « frustrantes et déroutantes à lire ».
Bien que la divulgation puisse avoir un impact sur la position de Twitter auprès des régulateurs, des utilisateurs et même de son conseil d’administration, l’un des impacts immédiats les plus urgents pourrait être sur son dossier contre Musk. Après que Musk a décidé le mois dernier de mettre fin à l’accord suite à des allégations selon lesquelles Twitter aurait mal indiqué le nombre de bots sur la plate-forme et n’aurait pas fourni d’informations pour l’aider à évaluer le problème, Twitter a intenté une action en justice l’accusant d’utiliser des bots comme prétexte pour quitter le accord. Twitter a demandé à un tribunal de l’obliger à respecter l’accord, et l’affaire devrait être jugée devant le tribunal de la chancellerie du Delaware en octobre.
Mardi, après l’annonce de la divulgation de Zatko, l’avocat de Musk, Alex Spiro, a déclaré que l’équipe juridique du milliardaire avait déjà assigné Zatko dans le différend avec Twitter. « Nous avons trouvé sa sortie et celle d’autres employés clés curieux à la lumière de ce que nous avons trouvé », a déclaré Spiro à CNN.
Les enjeux du différend juridique, et tout impact des dernières révélations sur celui-ci, ne pourraient pas être plus élevés pour Twitter. La société se bat pour conclure un accord à acquérir à un prix nettement supérieur à sa valorisation actuelle sur le marché, ou bien obtenir des frais de rupture d’un milliard de dollars de Musk, et de le faire dès que possible pour éviter un nuage d’incertitude prolongé pour son affaire. Même avant l’implication de Musk, Twitter avait du mal à élargir sa base d’utilisateurs et à développer son activité publicitaire.
Zatko a déclaré à CNN que sa divulgation n’était pas liée à l’acquisition, qu’il n’avait aucune relation personnelle avec Musk et qu’il avait commencé à documenter les préoccupations qui deviendraient sa divulgation avant qu’il n’y ait aucune indication de l’implication de Musk avec Twitter. Zatko dit qu’il détient dans le cadre de son portefeuille d’actions plus large, qui comprend des actions dans un certain nombre de sociétés individuelles, une petite quantité d’actions Tesla acquises au cours des 10 dernières années, ainsi qu’une participation légèrement plus importante dans Twitter parce que son plan de rémunération y comprenait Stock. Il a déclaré à CNN qu’il ne prévoyait pas de toucher à l’un ou l’autre tout au long du processus de divulgation.
Zatko a commencé à documenter ses inquiétudes concernant les déclarations trompeuses faites au conseil d’administration de Twitter concernant la sécurité en décembre ; Musk a annoncé pour la première fois sa participation importante dans Twitter le 4 avril, avant d’accepter de l’acquérir plus tard dans le mois.
‘PAS D’APPÉTIT’ POUR MESURER CORRECTEMENT LES BOT
En février 2019, Twitter a annoncé qu’il commencerait à utiliser une nouvelle mesure pour quantifier la taille de son audience lorsque la société publierait ses résultats financiers chaque trimestre. La société, qui faisait face à une baisse du nombre d’utilisateurs depuis plusieurs trimestres, a déclaré qu’elle passerait de la divulgation des utilisateurs actifs mensuels – une mesure couramment utilisée par les entreprises de médias sociaux – à la déclaration des utilisateurs actifs quotidiens monétisables (mDAU), une mesure du nombre de de vrais utilisateurs qui pourraient voir une annonce sur la plateforme.
« Notre objectif n’était pas de divulguer uniquement le plus grand nombre d’utilisateurs actifs quotidiens que nous pouvions », a déclaré Twitter dans une lettre aux actionnaires à l’époque, ajoutant qu’il estimait que la nouvelle mesure donnerait aux annonceurs une meilleure idée de la valeur des publicités placées sur le site. Plate-forme. La métrique signifiait également que le nombre d’utilisateurs signalés par Twitter aux actionnaires – souvent un facteur déterminant pour le cours de l’action d’une entreprise – serait moins susceptible de fluctuer si, par exemple, l’entreprise supprimait un grand réseau de robots comprenant de nombreux comptes.
Depuis qu’il a fait le changement, Twitter a signalé que les faux comptes et les spams représentaient moins de 5 % des mDAU, un chiffre qu’il a répété dans son combat avec Musk et que le milliardaire a remis en question. (Twitter a reconnu dans les documents déposés auprès de la SEC que ce chiffre repose sur un jugement important qui peut ne pas refléter fidèlement la réalité.
Musk a initialement déclaré en mai que son accord pour acheter Twitter était « en attente » et a semblé poser des questions sur la prévalence des bots en pourcentage du nombre total d’utilisateurs. Agrawal a répondu dans un fil de tweet plusieurs jours plus tard, réitérant le calcul de Twitter selon lequel les faux comptes et les spams représentent moins de 5 % de mDAU et défendant la mesure de l’entreprise. Dans la divulgation, Zatko affirme qu’Agrawal répondait effectivement à une question différente de celle posée par Musk, ajoutant que la plupart des utilisateurs et actionnaires réguliers de Twitter pourraient ne pas remarquer ou ne pas comprendre la distinction entre les bots en pourcentage du nombre total d’utilisateurs et les bots en pourcentage de mDAU.
Twitter, selon la divulgation de Zatko, considère en fait les bots comme faisant partie d’une catégorie de millions d’utilisateurs « non monétisables » qu’il ne signale pas. Le chiffre de 5 % de bots que Twitter partage publiquement est essentiellement une estimation, basée sur un examen humain, du nombre de bots qui se glissent dans le décompte automatisé d’utilisateurs actifs quotidiens monétisables de l’entreprise, indique la divulgation. Ainsi, alors que le chiffre de 5 % des bots mDAU de Twitter peut être utile pour indiquer aux annonceurs le nombre de faux comptes qui pourraient voir mais ne peuvent pas interagir avec leurs publicités, la divulgation allègue qu’elle ne reflète pas toute l’étendue des faux comptes et des spams sur la plateforme.
La divulgation pointe également vers un autre tweet dans le fil de discussion d’Agrawal en mai dans lequel il a déclaré que Twitter est « fortement incité à détecter et à supprimer autant de spam que possible, chaque jour ». Zatko allègue que, contrairement à la déclaration d’Agrawal, les dirigeants de l’entreprise ont plutôt été incités par les pressions commerciales et les structures de bonus à développer mDAU, et dans certains cas l’ont fait au détriment de l’affectation de ressources et d’attention à la quantité de spam sur la plate-forme.
Zatko dit qu’il a commencé à poser des questions sur la prévalence des comptes de bots sur Twitter au début de 2021, et que le responsable de l’intégrité du site de Twitter lui a dit que l’entreprise ne savait pas combien de bots au total se trouvaient sur sa plate-forme. (Twitter a déclaré à CNN que la déclaration de Zatko manquait de contexte nécessaire.)
Zatko allègue également qu’il est sorti des conversations avec l’équipe d’intégrité en comprenant que l’entreprise « n’avait aucune envie de mesurer correctement la prévalence des bots », en partie parce que si le vrai nombre devenait public, cela pourrait nuire à la valeur et à l’image de l’entreprise. .
Les systèmes de Twitter pour mesurer et supprimer les bots consistent également en « des scripts simples, pour la plupart obsolètes, non surveillés, ainsi que des équipes humaines surchargées, inefficaces, en sous-effectif et réactives », indique la divulgation.
Les experts en comportement inauthentique en ligne disent qu’il peut être difficile de quantifier les bots parce qu’il n’y a pas de définition largement acceptée du terme, parce que les humains peuvent parfois être derrière de faux comptes et des spams, et parce que les mauvais acteurs changent constamment de tactique. Il existe également de nombreux bons robots sur Twitter, tels que des comptes automatisés qui tweetent la météo ou les mises à jour, et la plate-forme propose des étiquettes opt-in pour que ces comptes s’identifient aux utilisateurs. Mais Zatko dit qu’il pense qu’il serait toujours utile d’essayer de mieux mesurer l’ampleur du spam, des comptes automatisés faux ou autrement nuisibles sur la plate-forme.
« L’équipe de direction, le conseil d’administration, les actionnaires et les utilisateurs méritent tous une réponse honnête quant à ce qu’ils consomment en termes de données, d’informations et de contenu sur la plate-forme », a-t-il déclaré à CNN dans une interview au début du mois. « Toute votre perception du monde est faite à partir de ce que vous voyez, lisez et consommez en ligne. Et si vous ne comprenez pas ce qui est réel, ce qui ne l’est pas … oui, je pense que c’est assez effrayant. »
Twitter dit qu’il autorise les robots sur sa plate-forme, mais ses règles interdisent ceux qui se livrent au spam ou à la manipulation de la plate-forme. Mais, comme pour toutes les règles des plateformes de médias sociaux, le défi consiste souvent à faire appliquer ces politiques.
La société affirme qu’elle conteste, suspend et supprime régulièrement les comptes impliqués dans le spam et la manipulation de la plate-forme, notamment en supprimant généralement plus d’un million de comptes de spam chaque jour. Twitter a confirmé que le nombre de comptes de spam en pourcentage de mDAU est distinct du nombre total de faux comptes et de comptes de spam sur la plateforme. Mais la société a ajouté qu’elle pensait que le nombre total ne serait pas utile car il pourrait inclure des comptes sur lesquels Twitter a déjà pris des mesures, et elle ne pense pas qu’elle pourrait attraper tous ces comptes et donc le nombre serait un nombre minimum.
Dans la divulgation, Zatko allègue que sans plus de contexte, il est difficile de comprendre pleinement les chiffres rapportés par Twitter sur la suppression des spams et des faux comptes. La divulgation se demande si le nombre « est beaucoup ou peu, pour une plateforme aussi vaste que Twitter ? Personne ne le sait car il n’y a pas de dénominateur fourni pour le contexte.
Twitter n’a pas répondu à une demande de fournir le nombre total de comptes sur la plate-forme, ou le nombre moyen de comptes ajoutés quotidiennement, comme contexte autour du chiffre de suppression du bot.
BOT PEUT NE PAS ÊTRE LE SEUL PROBLÈME
Une grande partie du différend entre Twitter et Musk s’est concentrée sur les bots – un problème qui, selon les experts juridiques, n’est peut-être pas important pour l’accord, même s’il a été constaté que Twitter avait mal indiqué les chiffres. Mais après la divulgation, l’équipe juridique de Musk pourrait également choisir de se concentrer sur certaines des autres allégations sérieuses de Zatko.
Par exemple, la divulgation de Zatko allègue que Twitter a des pratiques de sécurité laxistes et un manque de plans d’urgence, ce qui pourrait menacer de mettre hors service les serveurs qui maintiennent la plate-forme en marche, potentiellement de façon permanente – un événement dit « Black Swan » qui, selon lui, a failli se produire. au printemps 2021.
« Twitter a constamment déformé dans les documents déposés auprès de la SEC sa capacité à se remettre même d’une brève panne de seulement quelques centres de données », selon la divulgation. La divulgation fait référence aux facteurs de risque que l’entreprise énumère dans son rapport annuel, qui indique qu’elle dispose d’un « programme de reprise après sinistre » en cas de dommages à ses centres de données. Zatko allègue que le programme de récupération n’est peut-être pas « suffisamment fonctionnel » pour empêcher un événement Black Swan.
Twitter n’a pas répondu aux questions spécifiques sur le risque de panne des centres de données, mais a déclaré qu’il investit en permanence dans ses équipes et sa technologie pour assurer la sécurité de la plateforme. Et une source proche du dossier a déclaré à CNN que la plate-forme avait mis en place des systèmes pour traiter les risques liés à la confidentialité, à la sécurité et à la santé pendant des années avant que Zatko ne rejoigne l’entreprise, qui se sont poursuivis depuis son départ.
La divulgation allègue également que Twitter est en violation d’une ordonnance de consentement de 2011 résultant d’un procès intenté par la Federal Trade Commission, dans laquelle la société s’est engagée à nettoyer son acte en matière de sécurité et de confidentialité des données des utilisateurs. Zatko allègue que malgré ses affirmations contraires, les dirigeants de Twitter sont conscients que l’entreprise n’a « jamais été en conformité » avec l’ordonnance
Twitter a déclaré qu’il se conformait aux règles de confidentialité applicables et qu’il avait été transparent avec les régulateurs sur ses efforts pour corriger les lacunes de ses systèmes.
La divulgation affirme également que certaines des lacunes identifiées par Zatko alors qu’il dirigeait la sécurité de l’entreprise pourraient créer des problèmes qui constitueraient un « effet négatif important », un terme juridique désignant un changement dans la situation d’une entreprise qui réduirait considérablement sa valeur, et le type de risque qui pourrait donner à Musk un plus grand levier pour sortir de l’accord.
La divulgation pointe vers une section de l’accord de fusion entre Twitter et Musk dans laquelle la société a affirmé qu’elle « n’enfreint pas, ne détourne pas ou ne viole pas les droits de propriété intellectuelle de toute autre personne » d’une manière qui constituerait un événement indésirable important. Cependant, la divulgation allègue que Twitter n’a pas obtenu les licences appropriées pour les données qu’il utilise pour former son intelligence artificielle – qui est utilisée dans les fonctionnalités clés de Twitter telles que l’algorithme sur lequel il s’appuie pour classer ce que les utilisateurs de tweets voient.
« La haute direction de Twitter sait depuis des années que l’entreprise n’a jamais détenu les licences appropriées pour les ensembles de données et/ou les logiciels utilisés pour créer certains des principaux modèles d’apprentissage automatique utilisés pour exécuter le service », indique la divulgation.
L’accord d’acquisition définit un effet défavorable important comme un changement ou un événement qui a ou entraînerait un préjudice important pour « l’activité, la situation financière ou les résultats d’exploitation de Twitter », à plusieurs exceptions près, notamment celles causées par les conditions économiques ou politiques et « des actes de Dieu » comme le terrorisme, les cyberattaques ou les violations de données. Il appartiendrait probablement à un tribunal de décider exactement quelles questions relèveraient de cette classification. Mais la divulgation affirme qu’un litige par l’un des propriétaires de la propriété intellectuelle utilisée pour former l’IA de Twitter pourrait entraîner des « dommages pécuniaires massifs » pour Twitter ou une injonction qui pourrait affecter sa capacité à exploiter des produits clés, qui, selon elle, pourraient constituer un matériel effet inverse.
« À moins que les circonstances n’aient changé depuis le licenciement de Mudge en janvier, le fonctionnement continu par Twitter de bon nombre de ses produits de base est très probablement illégal », affirme la divulgation.
Twitter n’a pas répondu aux questions sur l’allégation selon laquelle il ne dispose pas des droits de propriété intellectuelle appropriés pour les données utilisées pour former son IA.