Un ancien employé de Meta a intenté une action en justice accusant l'entreprise de permettre des « défaillances systémiques en matière de cybersécurité » sur WhatsApp, mettant ainsi en danger la vie privée des utilisateurs.
La plainte, déposée lundi auprès du tribunal de district des États-Unis pour le district nord de la Californie, provient d’Attaullah Baig, ancien responsable de la sécurité de WhatsApp. Baig allègue que Meta a exercé des représailles contre lui après qu’il a soulevé des inquiétudes, y compris directement auprès du PDG Mark Zuckerberg, concernant de graves failles dans l’application de messagerie.
L’ancien chef de la sécurité de WhatsApp affirme que Meta a ignoré les risques pour la vie privée
L’action en justice, déposée devant le tribunal de district des États-Unis pour le district nord de la Californie, affirme qu’après avoir rejoint WhatsApp en 2021, Baig a découvert des failles de sécurité qui violaient les lois fédérales sur les valeurs mobilières et les obligations de Meta dans le cadre d’un accord de confidentialité conclu en 2020 avec la Federal Trade Commission (FTC).
L’affaire émerge dans le contexte des batailles juridiques plus larges de Meta, y compris sa récente demande à un juge fédéral américain de rejeter la plainte antitrust de la FTC. Cette affaire accuse Meta d’avoir consolidé illégalement son pouvoir sur le marché des réseaux sociaux en acquérant Instagram et WhatsApp.
Dans sa défense, Meta soutient que la FTC n’a pas fourni de preuves suffisantes montrant que ces acquisitions étaient anticoncurrentielles ou nuisibles aux consommateurs. L’entreprise affirme qu’Instagram et WhatsApp ont prospéré sous sa propriété, bénéficiant d’investissements importants, d’une sécurité améliorée et de fonctionnalités enrichies. Comme l’a déjà rapporté Cryptopolitan, Meta rejette également la définition étroite du marché par la FTC, soulignant que des plateformes comme TikTok, YouTube et Reddit sont en concurrence directe pour attirer l’attention des utilisateurs.
Dans l’affaire actuelle, Baig a affirmé que lors d’un test de sécurité avec l’équipe centrale de Meta, il a découvert qu’environ 1 500 ingénieurs de WhatsApp avaient un accès illimité à des données sensibles des utilisateurs et pouvaient les déplacer ou les voler sans détection ni journaux d’audit. Meta a contesté les allégations de Baig dans une déclaration et a cherché à minimiser sa position et ses responsabilités.
« Malheureusement, il s’agit d’un scénario familier dans lequel un ancien employé est licencié pour mauvaise performance puis rend publiques des affirmations déformées qui ne reflètent pas le travail acharné et continu de notre équipe », a écrit le porte-parole. « La sécurité est un domaine conflictuel, et nous sommes fiers de renforcer notre solide bilan en matière de protection de la vie privée des personnes. »
Le groupe de lanceurs d’alerte Psst.org représente Baig aux côtés du cabinet d’avocats Schonbrun, Seplow, Harris, Hoffman & Zeldes. Bien que la plainte n’affirme pas que les données des utilisateurs ont été directement compromises, elle indique que Baig a averti à plusieurs reprises ses supérieurs que les lacunes en cybersécurité de WhatsApp créaient de sérieux risques de conformité réglementaire.
Les problèmes cités concernent l’absence d’un centre d’opérations de sécurité 24 heures sur 24 adapté à la taille de la plateforme, des systèmes inadéquats pour suivre l’accès des employés aux données des utilisateurs, et l’absence d’un inventaire complet des systèmes de stockage de données, rendant impossible une protection adéquate et une divulgation réglementaire appropriée.
Les avocats de Baig soutiennent dans la plainte que ses supérieurs ont critiqué à plusieurs reprises son travail et qu’il a commencé à recevoir des « retours négatifs sur ses performances » seulement trois jours après sa première divulgation en matière de cybersécurité.
À la fin de l’année dernière, Baig a informé la SEC des « insuffisances en matière de cybersécurité et du défaut d’informer les investisseurs des risques matériels en cybersécurité », selon la plainte. Un mois plus tard, Baig a envoyé à Zuckerberg la seconde de ses deux lettres, informant le PDG qu’il « avait déposé la plainte auprès de la SEC » et « demandait une action immédiate pour remédier à la fois aux manquements de conformité sous-jacents et aux représailles illégales ».
Meta nie les allégations, qualifiant la plainte d’attaque « déformée » contre son bilan
En janvier, selon la plainte, Baig a déposé une plainte auprès de l’Occupational Safety and Health Administration, notant « les représailles systémiques » qu’il aurait subies après ses révélations en matière de sécurité.
Le mois suivant, la plainte indique que Meta a licencié Baig, invoquant une « mauvaise performance ». Cela s’est produit lors des licenciements de février de l’entreprise, qui ont touché 5 % de ses effectifs.
La plainte soutient que le moment et les circonstances du licenciement de Baig montrent un lien clair avec son activité protégée. Cela est survenu peu après ses dépôts réglementaires externes, couronnant plus de deux ans de représailles systémiques présumées à la suite de ses divulgations en cybersécurité et de ses efforts pour assurer la conformité avec la loi fédérale et les ordonnances réglementaires.
Les avocats de Baig ont indiqué qu’il avait déposé lundi une notification pour transférer ses réclamations liées à la SEC devant un tribunal fédéral et qu’il avait déjà épuisé tous les recours administratifs avant d’engager la procédure.
KEY Difference Wire aide les marques crypto à se démarquer et à dominer rapidement les gros titres
