La menace de la surveillance en ligne n'est jamais loin au 21 e Century, entre les violations de données, la collecte de données gouvernementales et les comptes de médias sociaux invasifs. Maintenant, le gouvernement vous dit de désinstaller les applications développées en Chine car elles peuvent faire partie d'une énorme plate-forme de logiciels espions, collectant des données dans tous les pays du monde.
Alors que TikTok porte le poids des allégations de logiciels espions, devriez-vous commencer à supprimer les applications chinoises de votre smartphone ? Les applications chinoises volent-elles vos données ?
Pendant longtemps, les applications et logiciels développés en Chine ont été soupçonnés d'agir comme des logiciels espions. Ces applications collectent prétendument des données d'utilisateurs, qui sont renvoyées au gouvernement chinois via des sociétés technologiques. Beaucoup soupçonnent que les entreprises technologiques travaillent main dans la main avec le gouvernement chinois, compte tenu de la structure politique du pays.
Au premier rang des allégations se trouve TikTok, la plateforme de partage de vidéos sur les réseaux sociaux qui a pris d'assaut le monde. TikTok a été téléchargé plus de 2 milliards de fois et compte environ 800 millions d'utilisateurs actifs, la majorité de ces utilisateurs appartenant à la tranche d'âge des 18 à 30 ans.
Le jeudi 7 août 2020, le président Trump a publié un décret interdisant effectivement TikTok aux États-Unis. La commande vise spécifiquement le propriétaire de TikTok, ByteDance, et interdit toute "transaction" avec l'entreprise, prenant effet 45 jours après la publication de la commande.
L'interdiction nationale entre en vigueur après que TikTok a été banni de tous les appareils gouvernementaux, y compris les responsables gouvernementaux et le personnel militaire.
La grande question :si vous installez une application chinoise, va-t-elle voler vos données ? Presque toutes les allégations portées contre ces applications se concentrent sur le vol de données, l'application TikTok en étant un excellent exemple.
Les chercheurs en sécurité ont commencé à enquêter sur les pratiques de collecte de données de TikTok dès mars et avril 2020. Un article publié sur Reddit le 9 avril par l'utilisateur bangorlol a fourni une analyse d'une tentative d'ingénierie inverse sur la version de l'application TikTok qui était active à l'époque. Le verdict était que "TikTok est un service de collecte de données qui est à peine voilé en tant que réseau social" et que "TikTok est essentiellement un malware".
Il s'agit d'une analyse relativement détaillée par un utilisateur qui prétend faire de l'ingénierie inverse pour gagner sa vie, de sorte que le message a attiré énormément d'attention. Cependant, le message d'origine n'explore ni n'explique aucun raisonnement spécifique derrière les affirmations et passe plutôt à d'autres problèmes liés à l'application, tels que la visualisation et la manipulation de vidéos virales.
Depuis lors, cependant, les questions concernant le vol de données apparent de TikTok se sont amplifiées. D'autres chercheurs en sécurité ne sont pas si sûrs que TikTok soit aussi malveillant que les médias, et certaines personnalités du gouvernement le décrivent.
Par exemple, prenez l'expert en sécurité Mike Thompson, qui déclare :« Je n'ai pas encore vu de menace matérielle documentée... Ce n'est rien de plus que les fanfaronnades habituelles sur une nouvelle application conçue pour aider les gens à se connecter. Oui, cela comporte un risque. , mais ce n'est pas pire que la myriade d'autres communautés de réseaux sociaux."
De même, le chercheur en sécurité respecté, Baptiste Robert (@fs0c131y), conclut que "Pour autant que nous puissions voir, dans son état actuel, TikTok n'a pas de comportement suspect et n'exfiltre pas de données inhabituelles."
Puis, à la mi-août 2020, il est apparu que l'application TikTok avait collecté les adresses MAC des appareils, contournant les protections à la fois iOS et Android conçues spécifiquement pour se protéger contre une telle collecte. L'application a collecté des adresses MAC pendant environ 15 mois, interrompant la pratique en novembre 2019 alors que l'examen de la sécurité de TikTok augmentait.
L'adresse MAC de votre appareil est un identifiant d'appareil unique attribué à chaque carte réseau. La collecte de l'adresse MAC de chaque appareil est un outil d'identification puissant, car l'adresse MAC ne change jamais. (Oui, il existe des moyens d'usurper et de modifier une adresse MAC, mais la plupart des utilisateurs réguliers de TikTok ne poursuivent pas de telles activités.)
Comme l'adresse MAC ne change jamais, elle permet un profilage significatif d'un utilisateur individuel et de ses habitudes. Compte tenu des autres inquiétudes concernant TikTok, la combinaison était clairement un problème important, créant une méthode de suivi à long terme sans aucune possibilité de refuser la collecte de données.
Les informations proviennent d'un article d'enquête du Wall Street Journal qui a analysé neuf versions de l'application TikTok, publiées entre avril 2018 et janvier 2020. L'analyse a quelque peu confirmé les conclusions d'autres chercheurs en sécurité. TikTok ne collecte pas une quantité scandaleuse de données au-delà de ce que vous pourriez attendre d'une application de médias sociaux.
Cependant, la recherche du WSJ a également confirmé une grande partie du message de l'utilisateur de Reddit bangorlol d'avril 2020 :ByteDance enveloppe la plupart des données utilisateur qu'il envoie dans un type de cryptage inhabituel, au-delà de la protection standard offerte par SSL/TLS. Est-ce pour fournir une sécurité supplémentaire aux utilisateurs ? Ou pour masquer ce que TikTok envoyait aux serveurs de ByteDance ?
Si ByteDance utilisait l'adresse MAC pour l'identification et le suivi, cela expliquerait la couche de cryptage supplémentaire. Le cryptage empêcherait Google et Apple d'analyser le trafic de données, empêchant l'adresse MAC et d'autres collectes de données d'apparaître sur le radar.
Une autre considération est que Facebook, Twitter, Instagram, etc., effectuent tous exactement les mêmes actions que TikTok. Autrement dit, passez l'aspirateur sur les données des utilisateurs, créez des profils d'utilisateurs détaillés et ciblez ces profils avec de la publicité. La collecte d'informations concernant le système d'exploitation de l'appareil, la résolution de l'écran, le modèle de l'appareil et des données similaires est normale pour les applications de médias sociaux.
Cependant, les applications chinoises recueilleraient plus de données que nécessaire. Jon Callas, chercheur principal en technologie à l'ACLU, déclare :"Les applications chinoises sont souvent beaucoup plus abusives que les autres --- et nous détestons les autres."
Par extension, vous devez considérer ce que ces géants de la technologie peuvent faire avec cette quantité de données. Il suffit de regarder en arrière le scandale de Cambridge Analytica pour voir le pouvoir dangereux des énormes ensembles de données des médias sociaux. En tant que première application chinoise de médias sociaux à prendre d'assaut le monde, première application chinoise de médias sociaux à pénétrer dans tous les pays occidentaux et à tous les niveaux de la société, le potentiel de collecte de données malveillantes est évident.
La liste des applications chinoises interdites dépend de votre région. Comme vous l'avez lu, les États-Unis interdisent les transactions avec la société mère de TikTok, ByteDance. Cependant, les États-Unis ne sont pas le seul pays à interdire TikTok, ni même les applications développées en Chine.
Début juillet 2020, l'Inde a interdit TikTok et plus de 50 autres applications chinoises, déclarant que les applications sont "préjudiciables à [la] souveraineté et à l'intégrité de l'Inde, à la défense de l'Inde, à la sécurité de l'État et à l'ordre public". Bien que le gouvernement indien cite le risque pour la sécurité et la confidentialité, cette décision fait partie d'une réponse plus large à un incident antérieur à la frontière sino-indienne dans la région du Ladakh, qui a fait de nombreuses victimes.
L'interdiction comprend l'application de messagerie populaire, WeChat, la plate-forme de microblogging, Weibo, et le jeu Android populaire, Clash of Kings.
Au moment de la rédaction de cet article, très peu d'autres pays interdisent les applications chinoises (l'Australie envisage d'interdire TikTok et a déjà interdit Huawei et ZTE).
Cependant, en juillet 2020, le Royaume-Uni a annoncé qu'il bannirait le géant chinois des télécommunications, Huawei, de ses réseaux 5G. Le gouvernement britannique s'est également engagé à supprimer toute technologie Huawei existante de son infrastructure 5G d'ici 2027. Cette décision fait suite à des mois de lobbying tant au niveau national qu'international non seulement pour réduire le rôle de Huawei dans les infrastructures nationales critiques, mais pour le supprimer complètement.
De même, lors de la rédaction de cet article, une porte-parole de l'organisme français de surveillance des données, la CNIL, a confirmé qu'elle ouvrait une enquête sur TikTok. Plus précisément, l'enquête analysera comment TikTok gère les données des utilisateurs dans le cadre de la protection des données GDPR de l'UE, qui offre aux citoyens de l'Union européenne une protection supplémentaire des données.
Les États-Unis (et les autres gouvernements à cinq yeux) faisant des déclarations audacieuses sur la collecte de données sont au mieux hypocrites et au pire complètement risibles. Il n'y a pas si longtemps, le monde était secoué par les révélations d'Edward Snowden concernant PRISM, XKeyscore, ECHELON et d'autres programmes mondiaux de collecte de données.
Ces programmes n'utilisaient pas les applications comme logiciels espions, mais récupéraient de vastes quantités de données à partir des principaux câbles de connexion de données entre les pays (tels que les réseaux de fournisseurs de services de niveau 1 ou l'infrastructure de câbles sous-marins).
De plus, ces programmes sont toujours actifs et ont été renouvelés plusieurs fois par le gouvernement américain (avec la collaboration des gouvernements alliés).
Pourtant, l'eau coule dans les deux sens. Le gouvernement chinois interdit l'accès à de nombreuses grandes entreprises technologiques américaines, notamment Google, Facebook, Twitter, Instagram et même TikTok (la version chinoise de TikTok s'appelle Douyin et affiche un contenu différent). De plus, le gouvernement chinois censure les sources d'information occidentales, les services de streaming vidéo, etc.
Les raisons de la censure diffèrent, mais les deux visent le même objectif :"protéger" les citoyens d'un gouvernement étranger.
Mis à part le fait que vous n'avez plus beaucoup de choix en la matière, étant donné le décret présidentiel --- mais vous auriez probablement pu prendre une décision sans interférence. Si vous continuez à utiliser TikTok, partez du principe que vos données ne sont pas sécurisées et que l'application pourrait vous compromettre d'autres manières.
Le problème est que toute conversation impliquant la Chine, les États-Unis, les adversaires du gouvernement, l'espionnage et la collecte de données est difficile à suivre. Cela ne se résume pas à "Chine =mauvais", alors supprimez les applications après la hâte. Ce serait la réponse simple, en noir et blanc, que beaucoup souhaitent.
Malheureusement, l'opposition virulente à TikTok et à d'autres applications développées en Chine pousse les consommateurs dans le domaine de la géopolitique, en tant que pions entre deux grandes nations qui se battent pour le contrôle de vos données.
Pour la plupart des gens, TikTok n'est qu'une application amusante de partage de vidéos. Donner à Facebook et Google un approvisionnement infini de données est-il meilleur que TikTok ? TikTok représente-t-il vraiment un risque pour la sécurité nationale ?
