Ce que disent les preuves sur les problèmes de sécurité et de confidentialité

Le Premier ministre britannique, Rishi Sunak, a récemment laissé entendre qu’il pourrait interdire l’application de médias sociaux TikTok des appareils utilisés par les employés du gouvernement.

Ses commentaires font suite à des interdictions similaires par la Commission européenne et le gouvernement fédéral américain. Dans les cas de l’UE et des États-Unis, les préoccupations en matière de sécurité ont servi de justification à une interdiction. Contrairement à Facebook ou Instagram (tous deux détenus par Meta, basé aux États-Unis), TikTok appartient à ByteDance, basé en Chine.

De telles préoccupations ne sont pas nouvelles. En octobre 2022, l’ancien secrétaire d’État américain Mike Pompeo décrit sa peur que la Chine pourrait contraindre TikTok à agir comme un “cheval de Troie”, en accédant et en exploitant des données sensibles sur les appareils des utilisateurs.

TikTok, comme de nombreuses applications de médias sociaux, collecte des quantités importantes de données utilisateur, notamment des dates de naissance, des adresses e-mail et des numéros de téléphone.

Les discussions autour de la confidentialité dans les applications de médias sociaux concernent généralement la collecte excessive de données que les utilisateurs consentent à transmettre. La politique de confidentialité de TikTok indique que l’application collecte les données de localisation des utilisateurs, jusqu’à une granularité de trois kilomètres carrés. C’est assez grossier – Instagram, par exemple, permet un suivi de localisation plus précis.

Instagram dit que c’est pour personnaliser les publicités. Mais le risque est que, si elles sont exposées, les données de localisation pourraient être utilisées par des parties malveillantes pour suivre les utilisateurs, permettant des comportements tels que le harcèlement de partenaires intimes. Ce type de données de localisation a été impliqué dans un prétendu effort des employés de TikTok (qui auraient par la suite été licenciés) pour déterminer l’emplacement de journalistes basés aux États-Unis, dans le but d’attraper des fuites à l’intérieur de l’entreprise.

Dans un e-mail publié par le magazine Forbes, le directeur général de ByteDance, Rubo Liang, a écrit qu’il était “profondément déçu” par l’épisode.

L’accès aux données des utilisateurs permet aux entreprises de créer des profils pour des utilisateurs spécifiques. La disponibilité croissante pour le public d’outils logiciels utilisant l’apprentissage automatique – un type d’IA qui s’améliore dans une tâche avec de l’expérience – a alarmé certains analystes de la cybersécurité.

Ces experts s’inquiètent de l’utilisation potentielle de cette technologie pour des “attaques de phishing ciblées”. Dans ces attaques, les victimes reçoivent des communications, telles qu’un e-mail, qui se font passer pour une source fiable, incitant la victime à s’engager dans une arnaque.

Les applications de médias sociaux ont une connaissance importante de leurs utilisateurs. Il est donc tout à fait plausible que la création d’un profil à partir des données des utilisateurs puisse permettre des attaques de phishing ciblées sur des comptes gouvernementaux sensibles. Cependant, rien ne prouve que TikTok ait été utilisé à cette fin.

Normes de l’industrie

ByteDance a répondu aux récentes interdictions en affirmant qu’il n’avait pas fourni de données sur les utilisateurs au gouvernement chinois. Il affirme également que ses pratiques de collecte de données s’alignent sur celles d’autres sociétés de médias sociaux. Une comparaison rapide avec la politique de confidentialité d’Instagram étaye ce point de vue : les informations d’identification collectées par Meta auprès de Facebook et d’Instagram correspondent généralement aux informations collectées par TikTok en termes d’informations sur l’appareil, de graphiques de réseaux sociaux et d’informations de localisation.

Certaines critiques d’applications telles que TikTok se sont concentrées sur l’affirmation selon laquelle elles fonctionnent comme des logiciels espions. L’objectif des logiciels espions, par rapport à la collecte de données, est d’extraire des informations confidentielles ou sensibles que les utilisateurs n’ont pas consenti à fournir. Par exemple, les logiciels espions peuvent cibler des informations que l’utilisateur a copiées dans le presse-papiers de son appareil.

Le conseil commun est d’utiliser des mots de passe complexes et uniques pour chaque compte en ligne. Ainsi, les personnes soucieuses de la confidentialité utiliseront souvent des gestionnaires de mots de passe tels que LastPass ou 1password.

Cependant, ces utilisateurs sont susceptibles de copier et coller le mot de passe complexe de leur gestionnaire de mots de passe dans les mécanismes de connexion d’un compte. L’extraction des informations du presse-papiers permet à ceux qui ont des intentions malveillantes de récupérer des mots de passe et d’accéder à des comptes sensibles.

Évaluation du risque

TikTok est une “application à source fermée”, ce qui signifie que le code source – les instructions sous-jacentes – utilisé pour créer l’application n’est pas disponible. Cependant, des efforts ont été déployés pour désosser le code source de TikTok. Ces efforts ont été utilisés pour déterminer si l’application se comporte comme un logiciel espion ou collecte autrement les données des utilisateurs de manière excessive.

Un rapport de Citizen Lab Research a décrit la rétro-ingénierie d’une version distribuée par Android de TikTok. Il a conclu: “TikTok… (ne) semble pas présenter un comportement ouvertement malveillant” tel que celui affiché par les logiciels espions. En outre, le rapport indique que bien que TikTok collecte une grande variété d’informations sur les appareils et les informations sur les modèles d’utilisation, “(ces) caractéristiques ne sont pas exceptionnelles par rapport aux normes de l’industrie”.

Il est raisonnable de conclure que Tiktok lui-même ne présente pas nécessairement un risque beaucoup plus grand à cet égard que d’autres applications de médias sociaux basées aux États-Unis, une conclusion partagée par l’Electronic Frontier Foundation.

Les récentes interdictions ont incité ByteDance à renforcer la protection de la vie privée des utilisateurs. Plus précisément, ByteDance a annoncé Project Clover, qui décrit des stratégies pour améliorer la sécurité des données européennes.

Project Clover propose une soi-disant enclave européenne, qui vise à garantir que les employés de ByteDance ne peuvent pas accéder ou transférer les données des utilisateurs européens vers l’extérieur sans se conformer aux lois sur la protection des données telles que le RGPD. Il serait également supervisé par une société de sécurité européenne tierce – des discussions entre ByteDance et cette tierce partie sont actuellement en cours.

Protections des utilisateurs

ByteDance a également proposé deux mécanismes d’anonymisation des données des utilisateurs, dont le but est de s’assurer que toute partie malveillante souhaitant accéder aux données des utilisateurs de TikTok ne puisse pas les exploiter pour du phishing ou d’autres types d’attaques. La première approche consiste à “pseudonymiser” les données personnelles collectées auprès des utilisateurs pour se conformer à l’article 4, paragraphe 5, du RGPD. Cela nécessiterait que les données personnelles soient traitées de telle manière qu’elles ne puissent pas être liées à des utilisateurs spécifiques sans l’utilisation d’informations externes supplémentaires.

ByteDance regroupera également les informations des utilisateurs dans de grands ensembles de données, atteignant l’anonymat en séparant les détails du profil d’un utilisateur particulier. Ainsi, la récente interdiction de TikTok par la Commission européenne met en évidence une perception croissante des organes directeurs selon laquelle TikTok et d’autres applications pourraient potentiellement nuire à la sécurité et à la vie privée des utilisateurs grâce à une collecte de données ciblée et excessive.

Bien que cela ait amené ByteDance à proposer des protections de confidentialité renforcées, les utilisateurs doivent attendre que celles-ci se matérialisent et que les experts les vérifient. En attendant, il incombe aux utilisateurs de gérer leur propre vie privée et de décider eux-mêmes si les risques présentés par les applications de médias sociaux comme TikTok valent la valeur qu’elles offrent.

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l’article d’origine.