Afficher les titres Masquer les titres
Coup de tonnerre chez WhatsApp : l’ancien responsable de la sécurité, Attaullah Baig, accuse Meta d’avoir sacrifié la sécurité des utilisateurs au nom des performances. Selon lui, des millions de comptes étaient vulnérables pendant que le géant de la tech se concentrait sur les évaluations internes. Cette affaire relance le débat sur la culture de performance chez Meta et sur les risques pour la confidentialité des données.
Un chef de la sécurité qui tire la sonnette d’alarme
Attaullah Baig, ex-responsable de la sécurité chez WhatsApp, a porté plainte contre Meta au début du mois. Il affirme que l’entreprise a ignoré des risques majeurs pour la vie privée des utilisateurs et qu’il a été sanctionné pour avoir dénoncé ces failles. D’après lui, les hackers prenaient le contrôle de plus de 100 000 comptes par jour et des milliers d’employés avaient accès à des informations sensibles comme les photos de profil, les positions géographiques et les listes de contacts, laissant ainsi les utilisateurs exposés.
La vengeance des évaluations internes
Le cœur de la plainte repose sur un système interne, le Performance Summary Cycle (PSC), censé évaluer les employés. Baig assure que ce système a été manipulé pour le punir. En dépit de critiques toujours supérieures aux attentes et de perspectives de promotion, il aurait été rétrogradé après avoir signalé des problèmes de sécurité.
*“La sanction est arrivée presque immédiatement,”* explique-t-il à propos de ce qu’il décrit comme des représailles.
WhatsApp a répondu par la voix de Zade Alsawah : *“Ce sont des affirmations déformées qui ne reflètent pas le travail acharné de notre équipe. Nous sommes fiers de protéger la vie privée des utilisateurs.”*
Des alertes ignorées par la direction
Baig assure avoir alerté les dirigeants, y compris Mark Zuckerberg, sur les vulnérabilités critiques. Selon lui, ses supérieurs ont réagi en le licenciant en février, dans le cadre des réductions de personnel basées sur le PSC. La plainte évoque également une violation possible d’un accord de confidentialité conclu avec la FTC en 2019 et des lois sur les valeurs mobilières, car les risques n’auraient pas été divulgués aux actionnaires.
“Nous encourageons le débat et les perspectives multiples pour développer nos solutions de sécurité,” insiste Alsawah. Toutefois, le Département du Travail a rejeté la plainte de Baig.
Une culture de la performance à tout prix
Le PSC dicte les promotions et les licenciements chez Meta. Plusieurs parties de la plainte détaillent comment ce système pousse les employés à privilégier le volume de travail visible plutôt que la véritable sécurité. L’objectif devient de survivre aux évaluations plutôt que de protéger les utilisateurs.
“Cette entreprise vit pour le PSC,” déclare un manager cité dans la plainte. Une équipe a même reconnu que son travail ne visait pas à sécuriser les utilisateurs mais à améliorer ses scores et éviter d’être signalée comme sous-performante.
Une structure de récompenses controversée
Le système de rémunération de WhatsApp encourageait les ingénieurs à produire beaucoup de code visible, plutôt qu’à résoudre les problèmes profonds de sécurité. Les performances reposant sur des résultats tangibles, les véritables failles étaient souvent négligées.
Selon la plainte :
- les employés compliquaient artificiellement les systèmes pour montrer du progrès ;
- les fonctionnalités étaient copiées de concurrents comme Signal, Telegram ou iMessage pour gonfler les évaluations ;
- les ingénieurs reconfiguraient des serveurs des milliers de fois par an pour simuler de l’activité, pas pour renforcer la sécurité ;
- des métriques internes sur les comptes compromis étaient manipulées pour donner l’impression de progrès.
Baig précise qu’une fonction qu’il avait conçue, Post-Compromise Account Recovery, a été annulée car elle aurait exposé des lacunes et pénalisé les dirigeants dans leurs évaluations.
Les “golden handcuffs” de Meta
Les généreux packages de rémunération empêchent beaucoup d’employés de contester la culture interne. Baig affirme que son licenciement lui a coûté des dizaines de milliers de dollars en augmentations et primes, ainsi qu’environ 600 000 dollars en actions.
*“Meta est un excellent lieu de travail, mais il faut adhérer à leur philosophie qui considère les utilisateurs comme de simples chiffres,”* explique-t-il.
Cette affaire intervient alors que Meta continue de structurer sa société autour des évaluations de performance, avec des pourcentages croissants de personnel classé en dessous des attentes, augmentant le risque pour les utilisateurs.
Malgré les réponses de Meta, les accusations de Baig ont attiré l’attention des législateurs américains, qui demandent des éclaircissements sur la sécurité et la protection des données. Cette affaire met en lumière les tensions entre la culture de performance et la protection réelle des utilisateurs dans les grandes entreprises tech.
