IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La collecte de données « alarmante » et « excessive » des données personnelles sur TikTok révélée par une analyse du code source de l'application

Le , par Stéphane le calme

39PARTAGES

12  0 
L'analyse par des chercheurs en technologie du code source de l'application de médias sociaux populaire TikTok a révélé des choses alarmantes sur l'accessibilité de vos données personnelles. L'application vidéo virale vérifie l'emplacement de l'appareil au moins une fois par heure, demande en permanence l'accès aux contacts, cartographie les applications en cours d'exécution d'un appareil et toutes les applications installées, et plus encore.

Suite à un aveu que le personnel en Chine peut accéder aux données de millions d'utilisateurs australiens « L'application mobile TikTok a été construite avec une culture qui ne place pas la confidentialité comme principe car la plupart des autorisations et des informations sur les appareils collectées sont au-dessus des autorisations nécessaires pour que l'application puisse fonctionner correctement », indique le rapport.


Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu'en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l'ancien président Donald Trump à menacer d'interdire l'application aux États-Unis.

Les enregistrements, qui ont été examinés par un quotidien américain, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d'un dirigeant de TikTok lors d'une audience au Sénat d'octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n'avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.

« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d'une réunion en septembre 2021. Lors d'une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ».

Les enregistrements vont de réunions en petits groupes avec des chefs d'entreprise et des consultants à des présentations de politiques et sont corroborés par des captures d'écran et d'autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d'employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment, brossant un tableau riche des défis auxquels l'application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.

En réponse à une liste exhaustive d'exemples et de questions sur l'accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C'est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses ».

«TikTok n'est pas qu'une simple application de partage de vidéos. C'est le loup déguisé en agneau. Elle recueille des masses de données sensibles qui, selon de nouveaux rapports, sont consultées à Pékin. Il est clair que TikTok pose un risque inacceptable pour la sécurité nationale en raison de sa collecte extensive de données combinée à l'accès apparemment incontrôlé de Pékin à ces données sensibles », a déclaré Brendan Carr – un responsable de la Commission fédérale des communications (FCC).

Et un nouveau rapport pourrait lui donner du crédit.


L'application qui entreprend une « récolte excessive de données »

Des chercheurs de la société australienne de cybersécurité Internet 2.0 ont publié une analyse approfondie de l'application de médias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette année. Ils ont déterminé que « l'application mobile TikTok ne donne pas la priorité à la confidentialité » et disent qu'elle entreprend une « récolte excessive de données ».

Le rapport de 15 pages note certains cas où l'application vérifie l'emplacement de l'appareil au moins une fois par heure. Il indique que TikTok a un accès permanent au calendrier sur le téléphone de l'utilisateur.

Les chercheurs ont également découvert que l'application est capable d'évaluer toutes les autres applications en cours d'exécution sur le téléphone et de savoir quelles autres applications sont également installées sur l'appareil.

Internet 2.0 a a déclaré que bien que TikTok précise que les données des utilisateurs étaient stockées à Singapour et aux États-Unis, son analyse a révélé de nombreux sous-domaines dans l'application iOS résolus dans le monde entier, notamment*: Sydney, Adélaïde et Melbourne, New York, Las Vegas, San Francisco, San José, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux États-Unis, Utama et Jakarta en Indonésie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.

« Au cours de l'analyse, nous n'avons pas pu déterminer avec une grande confiance le but de la connexion ou l'endroit où les données des utilisateurs sont stockées. La connexion au serveur chinois est gérée par Guizhou Baishan Cloud Technology, une société de cloud et de cybersécurité ».


S'adressant au quotidien australien ABC, Robert Potter d'Internet 2.0 a déclaré qu'il n'y avait aucune preuve spécifique que TikTok utilisait les vulnérabilités des applications pour réellement récolter des données. « Nous n'avons pas de visibilité sur ce qui est extrait exactement », a-t-il déclaré, précisant que « nous pouvons juste vous montrer ce que dit le code source et voir où les données sont envoyées... tout ce que nous pouvons dire, c'est que TikTok s'autorise à extraire les données ».

Internet 2.0 a également mis en évidence des inquiétudes concernant la version Apple de l'application avec une connexion serveur à la Chine continentale « qui est gérée par l'une des 100 meilleures sociétés chinoises de cybersécurité et de données, Guizhou Baishan Cloud Technology Co., Ltd. ».

Les chercheurs n'ont pas pu trouver une connexion similaire dans la version Android de l'application.

Robert Potter dit qu'il n'est pas clair quelles données, le cas échéant, sont envoyées en Chine. « Sous un examen attentif, nous l'avons vu se connecter à des serveurs du monde entier, y compris en Chine ».

Il a également noté que d'autres applications auront des liens de serveur vers la Chine, mais a affirmé que la société n'avait pas été totalement transparente dans le passé, avertissant que cela ne ferait qu'alimenter les inquiétudes concernant l'application.

TikTok a répondu aux allégations soulevées dans le rapport. Dans une déclaration au média australien Crikey, il a déclaré que « l'adresse IP est à Singapour, le trafic réseau ne quitte pas la région et il est catégoriquement faux de laisser entendre qu'il y a une communication avec la Chine ». « Les conclusions des chercheurs révèlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l'environnement de test approprié pour confirmer leurs affirmations sans fondement ».

Le Project Texas

En 2019, le Comité des investissements étrangers aux États-Unis a commencé à enquêter sur les implications pour la sécurité nationale de la collecte de données américaines par TikTok. Et en 2020, le président de l'époque, Donald Trump, a menacé d'interdire complètement l'application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d'informations personnelles sur les utilisateurs américains de TikTok. La « collecte de données de TikTok menace de permettre au Parti communiste chinois d'accéder aux informations personnelles et exclusives des Américains », a écrit Trump dans son décret. TikTok a déclaré qu'il n'avait jamais partagé les données des utilisateurs avec le gouvernement chinois et qu'il ne le ferait pas si on le lui demandait.

La plupart des réunions enregistrées se concentrent sur la réponse de TikTok à ces préoccupations. La société tente actuellement de rediriger ses canaux afin que certaines données « protégées » ne puissent plus circuler hors des États-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.

Le projet Texas est la clé d'un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l'accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d'où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu'ils publient, ne seront pas incluses.

Sources : AFR, ABC

Et vous ?

Que pensez-vous des conclusions des chercheurs ? Êtes-vous surpris ?
Que pensez-vous des propos de TikTok qui dénonce une conclusion erronée mais n'explique pas les découvertes faites sur son code source ?
Comment observez-vous la situation en tenant compte du fait qu'il s'agit de la version iOS de l'application ?

Voir aussi :

Les données des utilisateurs US de TikTok ont été consultées en Chine malgré les démentis, selon un rapport. Aussi, TikTok a annoncé le transfert de tout le trafic américain vers les serveurs Oracle
TikTok confirme que les employés situés en Chine ont accès aux données des utilisateurs américains, l'entreprise basée en Chine précise néanmoins que cela est possible via un processus d'approbation

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 18/07/2022 à 20:42
parce que whatsapp, facebook, twitter, messgener, ou meme google analytics, androrid, ne font pas de meme ? a oui c'est vrai, c'est americians donc c'est bon , c'est les gentils. ste blague.. ils n'ont pas d'amis mais que des concurents
13  2 
Avatar de SimonKenoby
Membre averti https://www.developpez.com
Le 11/01/2023 à 11:15
Moi, ce qui m'étonne, c'est que les réseaux sociaux soient autorisés sur des appareils gouvernementaux en 1er lieu.
7  0 
Avatar de calvaire
Expert confirmé https://www.developpez.com
Le 19/07/2022 à 9:09
Citation Envoyé par Aiekick Voir le message
parce que whatsapp, facebook, twitter, messgener, ou meme google analytics, androrid, ne font pas de meme ? a oui c'est vrai, c'est americians donc c'est bon , c'est les gentils. ste blague.. ils n'ont pas d'amis mais que des concurents
oui c'est un peu usant cette diabolisation des Chinois (tiktok) et de la Russie (VK), alors qu'on sait très bien que les Américains font pareil pour les memes raisons nauséabonde.

J'aimerais tant que l'UE ai les couilles de bloquer Facebook

et allons plus loins, en réponse du PATRIOT Act bloquons tous les gafams, je suis convainque que en moins d'1 mois on aurait nos alternatives. Il est temps de faire comprendre aux européens que les services américains sont totalement dispensable et à l'oncle sam qu'on est pas leurs esclaves.
8  2 
Avatar de marc.collin
Membre chevronné https://www.developpez.com
Le 21/10/2022 à 16:34
et les données des utilisateurs de twitter, facebook, instagram... ne courent pas le risque de se faire espionner par les usa?
6  0 
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 27/03/2023 à 0:15
Je suis pas spécialement paranoïaque ni ne pense que nos gouvernements ont des but cachés foncièrement mauvais mais je pense qu'on fait ou tente de faire probablement pareil de notre coté (ou sommes très envieux d'eux si on ne peut pas le faire).

Pour équilibrer un peu la chose, je rappelle juste qu'il y a qq années on "découvrait" que Facebook était capable même de sniffer et suivre les comportements des utilisateurs sur les téléphones ou son app était même pas installée. Et que sans parler de "collusion avec le gouv US", presque tous les fournisseurs de réseaux sociaux, de services de reconnaissance/commande vocale, mais aussi tous les fournisseurs de plateformes (Google) nous traquent tout le temps sous le prétexte que "nos apps et services marchent mieux comme ca".

Il y a bien longtemps déjà, le bouquin O'Reilly sur PGP commençait sur un chapitre parlant de la volonté du gouvernement Clinton d'imposer une puce de cryptage dans les TV permettant de réceptionner les réseaux câblé et que c’était mal car "le gouv US aurait pu alors vous espionner comme bon vous semble" (syndrome pourquoi les cartes de crédit avec puce ont eut du mal a décoller aux US). Décris comme ça, ça faisait très parano, mais c’était la raison 1ere de du dev de cet outil : mettre en accès libre un outil permettant a tout un chacun de crypter des trucs que le gouv US n'aurait pas pu casser (un raisonnement très américain en soit).

Bref, 25 ans plus tard, pas beaucoup de changements, les gouv nous traquent des que possible (Chine, Pegasus, révélations passées sur les écoutes du Gov US, les nôtres font sans doute pareil de toutes manières [et ça fait partie du jeu standard d'espionner ses ennemis comme ses alliés et aussi de tenter d'identifier les menaces internes potentielles]) et les majors tant orientales que occidentales font pareil aussi (soit pour collaborer avec leur gouv, soit pour se faire du fric sur notre dos via nos data ou de la pub, soit les deux)...

Pendant ce temps-la, il me semble avoir vu qu'un certain présentateur d'une certaines émission littéraire sur France 5 apparaissait également dans une campagne de pub pour "BookTok" (le partage d'avis littéraire sur TikTok) sur les chaînes du groupe France TV (et d'autres aussi probablement) récemment.
6  0 
Avatar de Athaa
Membre à l'essai https://www.developpez.com
Le 27/03/2023 à 13:20
Citation Envoyé par Ryu2000 Voir le message
Ce mot n'existe pas, on doit dire "chiffrage".
Pour être précis on dit chiffrement.
Citation Envoyé par Ryu2000 Voir le message

Ce mot n'existe pas, on doit dire "chiffrer".
Désolé, j'aime bien le comique de répétition.
En effet crypter ne veux rien dire.
Pour s’en convaincre:
-déchiffrer : transformer un message crypté en message en clair, en utilisant la clé de déchiffrement.
-décrypter : transformer un message crypté en message en clair, sans connaître la clé de déchiffrement.
Je vous laisse déduire ce que veux dire chiffrer et ce voudrais dire crypter s’il existait.
6  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 18/07/2022 à 19:10
Que pensez-vous des conclusions des chercheurs ? Êtes-vous surpris ?
Pas surprenant vu que la NSA au moins fait de même avec les GAFAM.

Que pensez-vous des propos de TikTok qui dénonce une conclusion erronée mais n'explique pas les découvertes faites sur son code source ?
Ca m'étonnerait que ByteDance n'en profite pas : les données sont l'or noir du XXIe siècle.

Comment observez-vous la situation en tenant compte du fait qu'il s'agit de la version iOS de l'application ?
On a la réponse des pays impactés par les données sous iOS mais cela reste flou pour Android vu qu'apparemment c'est caché.
6  1 
Avatar de fodger
Membre confirmé https://www.developpez.com
Le 27/03/2023 à 11:54
Toutes ces applications sont bonnes à vider le cerveau des gens, qu'on les supprime.
6  1 
Avatar de denisys
Membre expérimenté https://www.developpez.com
Le 27/03/2023 à 18:11
Pour moi.
Aucun smartphone avec un logiciel dit : réseaux sociaux, devrait être installé par les constructeurs.
Il devrait être un choix optionnel de l’utilisateur final !!
5  0 
Avatar de herr_wann
Membre confirmé https://www.developpez.com
Le 12/09/2022 à 17:07
Pensée émue pour Dailymotion qui a du ressentir la même chose en voyant Google déverser des milliards dans Youtube sans pouvoir rivaliser, la roue tourne
5  1