L’analyse par des chercheurs en technologie du code source de l’application de mdias sociaux populaire TikTok a rvl des choses alarmantes sur l’accessibilit de vos donnes personnelles. L’application vido virale vrifie l’emplacement de l’appareil au moins une fois par heure, demande en permanence l’accs aux contacts, cartographie les applications en cours d’excution d’un appareil et toutes les applications installes, et plus encore.
Suite un aveu que le personnel en Chine peut accder aux donnes de millions d’utilisateurs australiens L’application mobile TikTok a t construite avec une culture qui ne place pas la confidentialit comme principe car la plupart des autorisations et des informations sur les appareils collectes sont au-dessus des autorisations ncessaires pour que l’application puisse fonctionner correctement , indique le rapport.
Pendant des annes, TikTok a rpondu aux proccupations en matire de confidentialit des donnes en promettant que les informations recueillies sur les utilisateurs aux tats-Unis seraient stockes aux tats-Unis, plutt qu’en Chine, o se trouve ByteDance, la socit mre de la plateforme vido. Mais selon les fuites audio de plus de 80 runions internes de TikTok, les employs de ByteDance bass en Chine ont accd plusieurs reprises des donnes non publiques sur les utilisateurs amricains de TikTok exactement le type de comportement qui a inspir l’ancien prsident Donald Trump menacer d’interdire l’application aux tats-Unis.
Les enregistrements, qui ont t examins par un quotidien amricain, contiennent 14 dclarations de neuf employs diffrents de TikTok indiquant que les ingnieurs en Chine ont eu accs aux donnes amricaines au moins entre septembre 2021 et janvier 2022. Malgr le tmoignage sous serment d’un dirigeant de TikTok lors d’une audience au Snat d’octobre 2021 selon lequel une quipe de scurit amricaine de renomme mondiale dcide qui a accs ces donnes, neuf dclarations de huit employs diffrents dcrivent des situations o les employs amricains ont d se tourner vers leurs collgues en Chine pour dterminer comment les donnes des utilisateurs amricains circulaient. Le personnel amricain n’avait pas la permission ou ne savait pas comment accder aux donnes par lui-mme, selon les enregistrements.
Tout se voit en Chine , a dclar un membre du dpartement Trust and Safety de TikTok lors d’une runion en septembre 2021. Lors d’une autre runion en septembre, un directeur a qualifi un ingnieur bas Pkin de matre administrateur qui a accs tout .
Les enregistrements vont de runions en petits groupes avec des chefs d’entreprise et des consultants des prsentations de politiques et sont corrobors par des captures d’cran et d’autres documents, fournissant une grande quantit de preuves pour corroborer les rapports antrieurs d’employs bass en Chine accdant aux donnes des utilisateurs amricains. Leur contenu montre que les donnes ont t consultes beaucoup plus frquemment et rcemment que prcdemment, brossant un tableau riche des dfis auxquels l’application de mdias sociaux la plus populaire au monde a t confronte pour tenter de sparer ses oprations amricaines de celles de sa socit mre Pkin. En fin de compte, les enregistrements suggrent que la socit a peut-tre induit en erreur les lgislateurs, ses utilisateurs et le public en minimisant le fait que les donnes stockes aux tats-Unis pouvaient toujours tre consultes par les employs en Chine.
En rponse une liste exhaustive d’exemples et de questions sur l’accs aux donnes, la porte-parole de TikTok, Maureen Shanahan, a rpondu par une courte dclaration : Nous savons que nous sommes parmi les plateformes les plus examines du point de vue de la scurit, et nous visons lever tout doute sur la scurit des donnes des utilisateurs amricains. C’est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de scurit et faisons appel des tiers indpendants et rputs pour tester nos dfenses .
TikTok n’est pas qu’une simple application de partage de vidos. C’est le loup dguis en agneau. Elle recueille des masses de donnes sensibles qui, selon de nouveaux rapports, sont consultes Pkin. Il est clair que TikTok pose un risque inacceptable pour la scurit nationale en raison de sa collecte extensive de donnes combine l’accs apparemment incontrl de Pkin ces donnes sensibles , a dclar Brendan Carr un responsable de la Commission fdrale des communications (FCC).
Et un nouveau rapport pourrait lui donner du crdit.
L’application qui entreprend une rcolte excessive de donnes
Des chercheurs de la socit australienne de cyberscurit Internet 2.0 ont publi une analyse approfondie de l’application de mdias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette anne. Ils ont dtermin que l’application mobile TikTok ne donne pas la priorit la confidentialit et disent qu’elle entreprend une rcolte excessive de donnes .
Le rapport de 15 pages note certains cas o l’application vrifie l’emplacement de l’appareil au moins une fois par heure. Il indique que TikTok a un accs permanent au calendrier sur le tlphone de l’utilisateur.
Les chercheurs ont galement dcouvert que l’application est capable d’valuer toutes les autres applications en cours d’excution sur le tlphone et de savoir quelles autres applications sont galement installes sur l’appareil.
Internet 2.0 a a dclar que bien que TikTok prcise que les donnes des utilisateurs taient stockes Singapour et aux tats-Unis, son analyse a rvl de nombreux sous-domaines dans l’application iOS rsolus dans le monde entier, notamment*: Sydney, Adlade et Melbourne, New York, Las Vegas, San Francisco, San Jos, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux tats-Unis, Utama et Jakarta en Indonsie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.
Au cours de l’analyse, nous n’avons pas pu dterminer avec une grande confiance le but de la connexion ou l’endroit o les donnes des utilisateurs sont stockes. La connexion au serveur chinois est gre par Guizhou Baishan Cloud Technology, une socit de cloud et de cyberscurit .
S’adressant au quotidien australien ABC, Robert Potter d’Internet 2.0 a dclar qu’il n’y avait aucune preuve spcifique que TikTok utilisait les vulnrabilits des applications pour rellement rcolter des donnes. Nous n’avons pas de visibilit sur ce qui est extrait exactement , a-t-il dclar, prcisant que nous pouvons juste vous montrer ce que dit le code source et voir o les donnes sont envoyes… tout ce que nous pouvons dire, c’est que TikTok s’autorise extraire les donnes .
Internet 2.0 a galement mis en vidence des inquitudes concernant la version Apple de l’application avec une connexion serveur la Chine continentale qui est gre par l’une des 100 meilleures socits chinoises de cyberscurit et de donnes, Guizhou Baishan Cloud Technology Co., Ltd. .
Les chercheurs n’ont pas pu trouver une connexion similaire dans la version Android de l’application.
Robert Potter dit qu’il n’est pas clair quelles donnes, le cas chant, sont envoyes en Chine. Sous un examen attentif, nous l’avons vu se connecter des serveurs du monde entier, y compris en Chine .
Il a galement not que d’autres applications auront des liens de serveur vers la Chine, mais a affirm que la socit n’avait pas t totalement transparente dans le pass, avertissant que cela ne ferait qu’alimenter les inquitudes concernant l’application.
TikTok a rpondu aux allgations souleves dans le rapport. Dans une dclaration au mdia australien Crikey, il a dclar que l’adresse IP est Singapour, le trafic rseau ne quitte pas la rgion et il est catgoriquement faux de laisser entendre qu’il y a une communication avec la Chine . Les conclusions des chercheurs rvlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l’environnement de test appropri pour confirmer leurs affirmations sans fondement .
Le Project Texas
En 2019, le Comit des investissements trangers aux tats-Unis a commenc enquter sur les implications pour la scurit nationale de la collecte de donnes amricaines par TikTok. Et en 2020, le prsident de l’poque, Donald Trump, a menac d’interdire compltement l’application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d’informations personnelles sur les utilisateurs amricains de TikTok. La collecte de donnes de TikTok menace de permettre au Parti communiste chinois d’accder aux informations personnelles et exclusives des Amricains , a crit Trump dans son dcret. TikTok a dclar qu’il n’avait jamais partag les donnes des utilisateurs avec le gouvernement chinois et qu’il ne le ferait pas si on le lui demandait.
La plupart des runions enregistres se concentrent sur la rponse de TikTok ces proccupations. La socit tente actuellement de rediriger ses canaux afin que certaines donnes protges ne puissent plus circuler hors des tats-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, le Project Texas visait mettre fin la grande majorit des situations o le personnel bas en Chine avait accs aux donnes des utilisateurs amricains.
Le projet Texas est la cl d’un contrat que TikTok ngocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l’accord CFIUS, TikTok conserverait les informations prives protges des utilisateurs amricains, comme les numros de tlphone et les anniversaires, exclusivement dans un centre de donnes gr par Oracle au Texas (d’o le nom du projet). Ces donnes ne seraient accessibles que par des employs spcifiques de TikTok bass aux tats-Unis. Les donnes considres comme protges sont toujours en cours de ngociation, mais les enregistrements indiquent que toutes les donnes publiques, y compris les profils publics des utilisateurs et tout ce qu’ils publient, ne seront pas incluses.
Et vous ?
Que pensez-vous des conclusions des chercheurs ? tes-vous surpris ?
Que pensez-vous des propos de TikTok qui dnonce une conclusion errone mais n’explique pas les dcouvertes faites sur son code source ?
Comment observez-vous la situation en tenant compte du fait qu’il s’agit de la version iOS de l’application ?
Voir aussi :
Les donnes des utilisateurs US de TikTok ont t consultes en Chine malgr les dmentis, selon un rapport. Aussi, TikTok a annonc le transfert de tout le trafic amricain vers les serveurs Oracle
TikTok confirme que les employs situs en Chine ont accs aux donnes des utilisateurs amricains, l’entreprise base en Chine prcise nanmoins que cela est possible via un processus d’approbation