Cela ressemble à un sérieux rappel à l'ordre pour Twitter et une première pour un service de réseau social. Aux USA, la Commission fédérale du commerce ( FTC ) vient en effet de sanctionner le service de microblogging pour ses manquements en matière de protection des données personnelles des utilisateurs. La faute au passé que traîne Twitter.

Entre janvier et mai 2009, Twitter a été victime de deux incidents de sécurité, rappelle la FTC. Un premier a conduit à la compromission de plusieurs comptes via une intrusion dans le contrôle administratif de Twitter après que le mot de passe eût été obtenu par le biais d'une attaque par dictionnaire. Le deuxième incident est bien connu dans nos contrées, et a valu à Hacker-Croll une peine de prison de cinq mois avec sursis.

Selon la FTC, Twitter a sa part de responsabilité dans ces évènements eu égard à une forme de laxisme et une politique basique de sécurité qui n'a pas été suivie. La FTC cite par exemple le fait que Twitter avait mis en ligne une page Web d'administration dont l'adresse n'était pas uniquement connue par des personnes autorisées, des employés qui affichaient des mots de passe d'administration en clair sur leurs comptes, des mots de passe utilisés trop simples...

L'accord passé avec la FTC pose interdiction à Twitter pendant une durée de 20 ans de " tromper les consommateurs à propos de la protection mise en œuvre sur la sécurité, la vie privée et la confidentialité de leurs données ". Tous les ans pendant 10 ans, un audit indépendant vérifiera que Twitter a mis en place un " programme complet de sécurité informatique ".

Sur son Blog, Twitter indique ne pas avoir attendu cet accord pour la mise en application des suggestions de la FTC. Le responsable juridique souligne par ailleurs que les incidents de sécurité cités par la FTC sont intervenus début 2009, à une époque où la société comptait moins de 50 employés contre près de trois fois plus maintenant et une croissance rapide. Reste que cela n'excuse pas grand-chose...