Résumé : Attaullah Baig, ancien responsable de la sécurité chez WhatsApp, poursuit Meta en justice, affirmant que l'application de messagerie présente des "défaillances systémiques de cybersécurité" qui compromettent potentiellement la confidentialité des utilisateurs, notamment le fait que 1 500 ingénieurs WhatsApp auraient un accès illimité aux données personnelles sans contrôle ni audit. Baig affirme que Meta a exercé des représailles contre lui après qu'il ait alerté les dirigeants, y compris Mark Zuckerberg, sur ces problèmes de sécurité, recevant des évaluations négatives puis étant licencié en février pour "performance insuffisante" après avoir déposé des plaintes auprès de la SEC et d'autres organismes régulateurs. Meta conteste ces allégations, affirmant que Baig avait été licencié pour de véritables problèmes de performance et que ses accusations déforment la réalité du travail de protection de la vie privée effectué par l'entreprise.
Un ancien employé de Meta a attaqué lundi la société de réseaux sociaux en justice, affirmant que son service de messagerie WhatsApp présentait des « failles systémiques en matière de cybersécurité » susceptibles de compromettre la vie privée des utilisateurs.
Attaullah Baig, ancien responsable de la sécurité chez WhatsApp, a déclaré que Meta avait exercé des représailles à son encontre après qu'il eut signalé des problèmes de sécurité au sein de l'application de messagerie à plusieurs dirigeants, dont le PDG Mark Zuckerberg.
La plainte, déposée devant la cour fédérale du district nord de Californie, avance qu'après avoir rejoint WhatsApp en 2021, M. Baig a découvert des failles de sécurité qui enfreignaient les lois fédérales sur la sécurité et les obligations légales de Meta liées à un accord sur la confidentialité conclu en 2020 avec la Commission fédérale du commerce.
Au cours d'un test mené avec l'équipe de sécurité principale de Meta, M. Baig a affirmé avoir « découvert qu'environ 1 500 ingénieurs WhatsApp avaient un accès illimité aux données des utilisateurs, y compris à des informations personnelles sensibles », et que les employés « pouvaient déplacer ou voler ces données sans être détectés et sans laisser de trace ».
Un porte-parole de Meta a contesté les allégations de M. Baig dans un communiqué et a minimisé son rôle et son statut au sein de l'entreprise.
« Malheureusement, il s'agit là d'un scénario classique dans lequel un ancien employé est licencié en raison de ses médiocres résultats, puis rend publiques des allégations déformées qui donnent une image fausse du travail acharné de notre équipe », a écrit le porte-parole. « La sécurité est un domaine de confrontation, et nous sommes fiers de nous appuyer sur nos solides antécédents en matière de protection de la vie privée des personnes. »
Baig est représenté par le groupe de défense des lanceurs d'alerte Psst.org et le cabinet d'avocats Schonbrun, Seplow, Harris, Hoffman et Zeldes.
L'action en justice ne mentionne pas que des données utilisateur aient été compromises, mais indique que M. Baig a signalé à plusieurs reprises à ses supérieurs que les failles de cybersécurité constituaient un risque en matière de conformité réglementaire. Parmi les failles de sécurité présumées figurent l'incapacité de WhatsApp à maintenir un centre d'opérations de sécurité ouvert 24 heures sur 24 adapté à sa taille et à son envergure, des systèmes permettant de surveiller l'accès aux données utilisateur et « un inventaire complet des systèmes stockant les données utilisateur, empêchant une protection adéquate et la divulgation réglementaire ».
Les avocats de M. Baig affirment dans cette affaire que ses supérieurs ont critiqué son travail à plusieurs reprises et indiquent que dans les trois jours qui ont suivi sa première « divulgation en matière de cybersécurité », il a commencé à recevoir des « commentaires négatifs sur son travail ».
En novembre, M. Baig a informé la SEC des présumées « lacunes en matière de cybersécurité et du défaut d'information des investisseurs sur les risques importants liés à la cybersécurité », selon la plainte.
Un mois plus tard, M. Baig a envoyé à M. Zuckerberg la deuxième de ses deux lettres, l'informant cette fois-ci qu'il « avait déposé plainte auprès de la SEC » et qu'il « demandait que des mesures immédiates soient prises pour remédier à la fois aux manquements sous-jacents en matière de conformité et aux représailles illégales ».
En janvier, M. Baig a ensuite déposé une plainte auprès de l'Occupational Safety and Health Administration (OSHA), documentant « les représailles systématiques » dont il affirme avoir fait l'objet après avoir divulgué les informations relatives à la sécurité, selon la plainte. Meta a déclaré que la plainte déposée auprès de l'OSHA avait été rejetée.
Le mois suivant, selon la plainte, Meta a licencié M. Baig, en invoquant de « un mauvais travail » dans le cadre de la vague de licenciements de février qui a touché 5 % du personnel de l'entreprise.
« Le moment et les circonstances du licenciement de M. Baig établissent un lien de causalité clair avec son activité de lanceur d'alerte, survenant peu de temps après ses déclarations aux autorités publiques et représentant le point culminant de plus de deux ans de représailles systémiques pour ses révélations en matière de cybersécurité et son plaidoyer en faveur du respect de la loi fédérale et des ordonnances réglementaires », indique la plainte.
Les avocats de M. Baig ont déclaré qu'il avait déposé lundi une demande de retrait de ses plaintes auprès de la SEC devant le tribunal fédéral et qu'il avait « épuisé tous les recours administratifs avant d'intenter cette action ».
traduction de : https://www.cnbc.com/2025/09/08/ex-meta-employee-whistleblower-suit-alleged-security-flaws-whatsapp-.html
Enregistrer un commentaire
Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.