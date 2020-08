La populaire application TikTok recueille des données utilisateur personnellement identifiables, selon une nouvelle enquête.

TikTok a exploité une faille toujours active qui lui permettait de contourner les exigences de confidentialité de Google pour les développeurs d’applications Android.

TikTok a accédé aux adresses MAC sur Android pendant 15 mois et a utilisé une couche de cryptage supplémentaire pour masquer cette collection de données.

La fonction de suivi des utilisateurs de TikTok a été supprimée en novembre, à un moment où Google savait déjà que les applications exploitaient la faille de sécurité Android.

ByteDance et son application populaire TikTok ont ​​fait l’objet d’un examen minutieux aux États-Unis ces derniers temps, l’administration Trump accusant d’exprimer des problèmes de sécurité concernant l’application. Le gouvernement a fait part de ses craintes que l’application puisse collecter des données d’utilisateurs qui pourraient ensuite être utilisées par le gouvernement chinois et a demandé à ByteDance de vendre ses opérations TikTok en Amérique. Par ailleurs, Trump a publié un nouveau décret qui empêcherait ByteDance de faire des affaires aux États-Unis.

Il s’avère qu’il y a une source de préoccupation en ce qui concerne les données utilisateur. TikTok a collecté des données sensibles auprès des utilisateurs d’Android jusqu’en novembre dernier, profitant d’une faille Android utilisée par d’autres applications, contournant les règles de confidentialité de Google pour Android. Ce n’est pas seulement TikTok qui est responsable du suivi des utilisateurs, car Google n’a pas corrigé cet exploit même s’il connaissait son existence.

Une enquête du Wall Street Journal montre que TikTok collectait les adresses MAC des appareils Android, en violation des garanties de confidentialité que Google a mis en place pour Android.

Les adresses MAC sont des identifiants uniques pour chaque appareil pouvant se connecter à Internet, smartphones inclus. Les MAC peuvent être associés à d’autres données d’application provenant du même téléphone et d’autres sources pour suivre les utilisateurs en ligne. Apple a cessé de rendre les données MAC disponibles aux applications en 2013, et Google a suivi deux ans plus tard.

TikTok a déclaré plus tôt cette année que son application collecte moins de données personnelles que Facebook et Google. À l’époque, on ne savait pas que l’application suivait les utilisateurs via les données MAC. Un porte-parole de l’entreprise a déclaré au Journal que «la version actuelle de TikTok ne collecte pas les adresses MAC». Le mal est peut-être déjà fait, cependant.

TikTok a utilisé une solution de contournement pour contourner les restrictions de collecte MAC de Google dans Android, note le rapport, puis il a caché ses actions sous une couche de cryptage supplémentaire. Le trafic Internet de TikTok est déjà crypté lors de la transmission, ce qui est une pratique courante pour la plupart du trafic Internet de nos jours. Cependant, TikTok a ajouté une couche supplémentaire de cryptage personnalisé qui ne servait aucun objectif de sécurité autre que de cacher le fait que les adresses MAC étaient collectées.

La façon dont TikTok a collecté les données utilisateur a permis un suivi permanent des utilisateurs:

TikTok a regroupé l’adresse MAC avec d’autres données de l’appareil et l’a envoyée à ByteDance lorsque l’application a été installée pour la première fois et ouverte sur un nouvel appareil. Cet ensemble comprenait également l’identifiant publicitaire de l’appareil, un numéro à 32 chiffres destiné à permettre aux annonceurs de suivre le comportement des consommateurs tout en donnant à l’utilisateur un certain degré d’anonymat et de contrôle sur ses informations.

Cet identifiant publicitaire peut être réinitialisé, mais si quelqu’un a accès aux informations MAC, il peut simplement associer le nouvel identifiant publicitaire à l’adresse MAC. Le seul moyen de s’en sortir serait de changer de téléphone et de supprimer TikTok.

TikTok a collecté des données MAC pendant 15 mois avant la suppression de la fonctionnalité.

Google partage le blâme ici, compte tenu des conclusions du Journal. TikTok n’était pas la seule application à abuser de cette faille. Le trou de sécurité est largement connu, a déclaré Joel Reardon au journal. Reardon est professeur adjoint à l’Université de Calgary et co-fondateur d’AppCensus. La société a examiné 25152 applications Android populaires en 2018 et a constaté que 347 d’entre elles accédaient à des adresses MAC.

Reardon a déposé un rapport de bogue officiel sur le problème en juin dernier, car il a découvert que la dernière version d’Android ne résolvait pas le problème. «J’ai été choqué qu’il soit encore exploitable», a-t-il déclaré, ajoutant que Google lui avait dit qu’il avait un rapport similaire dans son dossier au moment où il a déposé sa conclusion. Google a confirmé au Journal qu’il enquêtait sur la collection d’adresses MAC de TikTok, mais a refusé de commenter la faille de sécurité.

Microsoft, qui a manifesté son intérêt pour l’achat de la partie américaine de TikTop, a également refusé de dire s’il était au courant de la collecte de données de TikTok.

Sur une note différente, tout ce problème de sécurité montre que s’il y a une sorte de faille dans un système d’exploitation, ceux qui le trouveront peuvent en abuser. Remplacez la faille par une porte dérobée de cryptage, et vous obtenez le même résultat, mais avec des conséquences beaucoup plus graves.

L’enquête complète du WSJ mérite une lecture complète, et elle est disponible sur ce lien.

