L'ancien responsable de la sécurité de WhatsApp porte plainte contre Meta pour des manquements à la confidentialité

Un ancien employé de Meta a déposé une plainte accusant l'entreprise d'avoir permis des « défaillances systémiques en matière de cybersécurité » chez WhatsApp, mettant ainsi en danger la confidentialité des utilisateurs.

La plainte, déposée lundi devant le tribunal de district américain du district nord de la Californie, émane d'Attaullah Baig, ancien responsable de la sécurité de WhatsApp. Baig allègue que Meta a exercé des représailles à son encontre après qu'il a fait part de ses inquiétudes, y compris directement au PDG Mark Zuckerberg, concernant de graves failles de sécurité dans l'application de messagerie.

L'ancien responsable de la sécurité de WhatsApp affirme que Meta a ignoré les risques liés à la protection de la vie privée

La plainte, déposée devant le tribunal de district américain du district nord de la Californie, allègue qu'après avoir rejoint WhatsApp en 2021, Baig a découvert des failles de sécurité qui ont enfreint les lois fédérales sur les valeurs mobilières et les obligations de Meta en vertu d'un accord de confidentialité conclu.

Cette affaire survient dans le contexte des batailles juridiques plus vastes que mène Meta, notamment sa récente demande auprès d'un juge fédéral américain de rejeter la plainte antitrust de la FTC. Cette plainte accuse Meta d'avoir illégalement consolidé son pouvoir sur le marché des médias sociaux en acquérant Instagram et WhatsApp.

Pour sa défense, Meta soutient que la FTC n'a pas apporté de preuves suffisantes que ces accords étaient anticoncurrentiels ou préjudiciables aux consommateurs. L'entreprise affirme qu'Instagram et WhatsApp ont prospéré sous son contrôle, bénéficiant d'investissements importants, d'une sécurité renforcée et de fonctionnalités améliorées. Comme l'a précédemment rapporté Cryptopolitanrestrictive du marché proposée par la FTC defi, faisant remarquer que des plateformes comme TikTok, YouTube et Reddit se font directement concurrence pour capter l'attention des utilisateurs.

Dans cette affaire, Baig a affirmé avoir découvert, lors d'un test de sécurité mené avec l'équipe centrale de Meta, qu'environ 1 500 ingénieurs de WhatsApp disposaient d'un accès illimité aux données sensibles des utilisateurs et pouvaient les déplacer ou les voler sans être détectés ni consignés dans les journaux d'audit. Meta a contesté les allégations de Baig dans un communiqué et a cherché à minimiser son rôle et ses responsabilités.

« Malheureusement, il s'agit d'un scénario bien connu : un ancien employé est licencié pour insuffisance professionnelle, puis diffuse publiquement des allégations mensongères qui dénaturent le travail acharné que notre équipe continue de fournir », a écrit le porte-parole. « La sécurité est un domaine conflictuel, et nous sommes fiers de notretronexpérience en matière de protection de la vie privée. »

L'association de lanceurs d'alerte Psst.org représente Baig, en collaboration avec le cabinet d'avocats Schonbrun, Seplow, Harris, Hoffman & Zeldes.  Bien que la plainte n'allègue pas de compromission directe des données des utilisateurs, elle affirme que Baig a averti à plusieurs reprises sa hiérarchie des graves risques de non-conformité réglementaire liés aux failles de cybersécurité de WhatsApp.

Les problèmes soulevés sont l'absence, au sein de la plateforme, d'un centre d'opérations de sécurité fonctionnant 24 heures sur 24 et adapté à sa taille, des systèmes inadéquats pour tracl'accès des employés aux données des utilisateurs et l'absence d'un inventaire complet des systèmes de stockage de données, ce qui rend impossible une protection adéquate et la divulgation réglementaire.

Dans leur plainte, les avocats de Baig affirment que ses supérieurs ont critiqué à plusieurs reprises son travail et qu'il a commencé à recevoir des « commentaires négatifs sur ses performances » seulement trois jours après sa première divulgation concernant la cybersécurité.

Fin 2018, Baig a informé la SEC des « defiet du défaut d'information des investisseurs concernant les risques importants liés à la cybersécurité », indique la plainte. Un mois plus tard, Baig a adressé à Zuckerberg la seconde de deux lettres, l'informant qu'il avait « déposé une plainte auprès de la SEC » et qu'il « exigeait des mesures immédiates pour remédier aux manquements à la conformité et aux représailles illégales ».

Meta réfute les allégations, qualifiant la poursuite d'attaque « déformée » contre son bilan

En janvier, selon la plainte, Baig a déposé une plainte auprès de l'Administration de la sécurité et de la santé au travail, notant les « représailles systémiques » qu'il prétend avoir subies après les divulgations relatives à la sécurité.

Le mois suivant, selon la plainte, Meta a licencié Baig pour « insuffisance professionnelle ». Ce licenciement a eu lieu lors des suppressions de postes de février, qui ont touché 5 % des effectifs de l’entreprise.

La plainte soutient que le moment et les circonstances du licenciement de Baig établissent un lien évident avec son activité protégée. Ce licenciement est intervenu peu après ses déclarations auprès des autorités de réglementation externes, couronnant plus de deux années de représailles systémiques présumées suite à ses révélations sur la cybersécurité et à ses efforts pour obtenir le respect du droit fédéral et des injonctions réglementaires.

Les avocats de Baig ont déclaré qu'il avait déposé lundi une requête pour transférer ses plaintes liées à la SEC devant un tribunal fédéral et qu'il avait déjà épuisé tous les recours administratifs avant d'engager cette procédure.