De nouveaux rapports aux États-Unis ont soulevé de sérieuses questions quant à savoir si le gouvernement chinois a accès aux données personnelles des utilisateurs américains de TikTok. Pourtant, Apple et Google, qui gèrent les deux plus grands magasins d’applications, semblent indifférents.
La fuite audio des réunions internes de TikTok obtenue par BuzzFeed contredit le témoignage sous serment de la société au Congrès l’automne dernier selon lequel les données des utilisateurs américains sont gérées par une « équipe de sécurité basée aux États-Unis de renommée mondiale ». BuzzFeed rapporte que le personnel américain n’a pas pu accéder aux données par lui-même et a dû demander à ses collègues chinois où allaient les informations des utilisateurs. Les ingénieurs basés en Chine ont eu accès aux données non publiques des utilisateurs américains au moins de septembre 2021 à janvier 2022, selon BuzzFeed.
BuzzFeed rapporte que « dans les enregistrements, la grande majorité des situations où le personnel basé en Chine a accédé aux données des utilisateurs américains étaient en service » pour arrêter le flux de données américaines vers la Chine. Mais le fait que les ingénieurs chinois aient eu cet accès présente un risque pour la sécurité nationale. Si une entreprise technologique opère en Chine continentale, le Parti communiste peut facilement accéder à ses données. La loi chinoise sur la sécurité des données permet au gouvernement de réglementer les pratiques des entreprises privées en matière de stockage et de gestion des informations en Chine si elles collectent des « données de base » – un terme large qui désigne tout ce que Pékin considère comme une préoccupation nationale ou de sécurité.
TikTok a déclaré peu de temps avant l’histoire de BuzzFeed que son « emplacement de stockage par défaut » pour les données des utilisateurs américains serait acheminé vers Oracle Cloud Infrastructure. Mais si les ingénieurs chinois peuvent toujours accéder à ce contenu, ils pourraient facilement le stocker sur des serveurs continentaux, même involontairement. Le rapport BuzzFeed détaille un membre du département Confiance et sécurité de TikTok disant, lors d’une réunion à l’automne 2021, que « tout se voit en Chine ». Pire encore, un directeur non identifié a fait référence à un « Master Admin » basé à Pékin qui avait « accès à tout » sur l’application.
(TikTok a répondu au rapport de BuzzFeed : « Nous savons que nous sommes parmi les plates-formes les plus contrôlées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C’est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faire appel à des tiers indépendants et réputés pour tester nos défenses. » ByteDance, sa société mère, n’a pas fourni de commentaire supplémentaire.)
Le gouvernement chinois pourrait trouver beaucoup de choses précieuses dans les données que TikTok recueille sur les utilisateurs américains. Selon la politique de confidentialité de l’entreprise, elle collecte la localisation en temps réel des consommateurs, l’historique des recherches et les données biométriques (par exemple, les empreintes digitales ou faciales). Ces informations sont inestimables pour créer des profils d’identité, que les pirates vendent au plus offrant sur les marchés noirs chinois pour commettre une fraude d’identité, ou le gouvernement chinois pourrait utiliser les informations qu’il oblige les entreprises technologiques à fournir pour accéder aux dossiers des employés fédéraux américains. Les pirates parrainés par le gouvernement pourraient créer des analyses précises des empreintes digitales volées pour aider à casser un système de sécurité à deux facteurs.
Pire encore, TikTok nécessite l’utilisation du microphone de votre appareil pour collecter les empreintes vocales. Sans accès au code source de TikTok, que seule l’entreprise possède, il est difficile de savoir ce que fait l’application avec les autorisations qui lui sont accordées. Mais il est prouvé qu’il enregistre même lorsque vous ne l’utilisez pas. Les utilisateurs de TikTok signalent que la fonction d’espionnage d’applications d’Apple, qui alerte les propriétaires d’appareils lorsque des applications accèdent à votre microphone ou à votre caméra, les a avertis que TikTok accédait à leurs micros lorsque l’application était fermée. Si l’accès de TikTok est aussi étendu que cela l’implique, le gouvernement chinois pourrait utiliser un smartphone comme appareil d’écoute.
Le reportage de BuzzFeed a incité le commissaire fédéral aux communications, Brendan Carr, à écrire à Apple et Google pour leur demander de retirer l’application de leurs magasins comme « un risque inacceptable pour la sécurité nationale ».
M. Carr a raison. La popularité de TikTok parmi les décideurs politiques et les journalistes pourrait donner au Parti communiste chinois un accès sans entrave aux données des Américains influents. Cela ouvre une brèche terrifiante dans la sécurité de notre pays en donnant à la Chine la possibilité d’écouter les conversations privées des responsables gouvernementaux pour les faire chanter ou, étant donné que beaucoup d’entre eux utilisent leurs appareils personnels pour mener des affaires officielles, voler leurs identifiants pour accéder à des informations top secrètes. . À partir de 2020, TikTok avait accès au contenu du presse-papiers sur les appareils Apple, ce qui peut fournir un accès à toute personne utilisant un gestionnaire de mots de passe pour les comptes sécurisés. Si l’utilisateur a ne serait-ce qu’une seule de ses informations d’identification gouvernementales brièvement enregistrée dans son presse-papiers, cela peut ouvrir une porte vers une agence fédérale.
TikTok a déclaré qu’il cesserait d’accéder au contenu du presse-papiers des utilisateurs sur les appareils iOS, après que la nouvelle fonctionnalité de transparence de la confidentialité d’Apple dans iOS 14 ait révélé qu’elle poursuivait cette pratique. Mais on ne sait pas si c’est le cas, et aucune date ferme n’accompagnait la promesse.
Les entreprises technologiques américaines ont depuis longtemps de nombreuses preuves que TikTok présente une menace sérieuse. Le président Trump a émis une ordonnance en 2020 pour interdire TikTok des marchés américains, que le président Biden a annulée en juin dernier.
Mais même maintenant, Apple et Google semblent indifférents aux pratiques de TikTok. Les magasins d’applications des deux sociétés ont des directives pour les développeurs afin d’empêcher ce type de comportement. La section 5.1.2(ii) des directives pour les développeurs d’Apple stipule : « Les données collectées dans un but précis ne peuvent être réutilisées sans autre consentement, sauf autorisation expresse contraire de la loi. » Les utilisateurs de TikTok peuvent accepter de laisser l’application collecter leurs données, mais il ne leur est certainement pas demandé de consentir explicitement à ce que leurs données soient transmises au gouvernement chinois. Apple affirme avoir rejeté plus de 343 000 applications de son App Store en raison de « violations de la vie privée ». Pourtant, TikTok semble avoir obtenu une exception et est même répertorié comme « iPhone Essential » sur la page d’accueil de l’App Store d’Apple.
TikTok a probablement trop de valeur financière pour être déplateforme. Il compte 100 millions d’utilisateurs mensuels aux États-Unis, dont la plupart utilisent l’application plutôt que le site Web. Chacun de ces comptes signifie une activité sur les magasins d’applications d’Apple et de Google, et les deux sociétés américaines ont également accès aux données de l’application. Apple et Google ont également un intérêt important à maintenir de bonnes relations avec Pékin. Pour pouvoir vendre ses appareils et services en Chine, Apple a conclu un accord qui l’oblige à supprimer la plupart de sa technologie de cryptage et à laisser les responsables gérer les ordinateurs de ses centres de données continentaux, entre autres. Google opère également en Chine.
M. Carr ne peut pas obliger Apple et Google à modifier leurs pratiques, mais le Congrès peut promulguer une législation qui protégera les consommateurs américains. Les législateurs pourraient interdire purement et simplement l’application ou au moins exiger d’Apple et de Google qu’ils autorisent des alternatives plus sécurisées à leurs propres magasins d’applications.
TikTok représente un grave danger pour la sécurité nationale et la vie privée des Américains. Si les entreprises ne répriment pas cette menace, le Congrès doit le faire.
M. Thayer est président du Digital Progress Institute et avocat en télécommunications et technologie basé à Washington.
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
