IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le navigateur intégré à TikTok contient un code qui pourrait être utilisé pour tracer des données telles que des mots de passe et des numéros de carte de crédit

Le , par Stéphane le calme
325 commentaires

54PARTAGES

9  0 
Selon le chercheur en sécurité Felix Krause, le navigateur intégré à l'application de TikTok sur iOS aurait injecté du code JavaScript dans des sites Web externes qui permet à TikTok de surveiller « toutes les entrées et pressions du clavier » pendant qu'un utilisateur interagit avec un site Web donné. TikTok s'est empressé de déclarer que le code n'est pas utilisé pour des raisons malveillantes.

Krause a déclaré que le navigateur intégré à l'application de TikTok « s'abonne » à toutes les entrées du clavier pendant qu'un utilisateur interagit avec un site Web externe, y compris tous les détails sensibles tels que les mots de passe et les informations de carte de crédit, ainsi que chaque pression sur l'écran. Et de préciser que « quand je dis que "l'application s'abonne à", je veux dire que l'application s'abonne aux événements JavaScript de ce type (par exemple, toutes les frappes sur l'écran). Il n'y a aucun moyen de vérifier ce qui se passe avec les données ».

« D'un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers », a écrit Krause, à propos du code JavaScript que TikTok injecte. Cependant, le chercheur a ajouté que « ce n'est pas parce qu'une application injecte du JavaScript dans des sites Web externes que l'application fait quelque chose de malveillant ».

L'application de TikTok comprend un code qui pourrait permettre à l'entreprise de surveiller tout ce que les utilisateurs tapent lors de l'utilisation de l'application, même lorsqu'ils sont redirigés vers des sites Web tiers, ce qui permet à l'application de médias sociaux de voir des données sensibles telles que des mots de passe et des numéros de carte de crédit, selon un chercheur en sécurité qui estime qu'Apple devrait prendre des mesures pour résoudre le problème potentiel.

Felix Krause dit avoir découvert la capacité de TikTok à surveiller les données des utilisateurs grâce à sa fonction de navigation intégrée à l'application et a publié ses découvertes dans un billet de blog. Krause a trouvé un code qui a montré que TikTok a la capacité de surveiller toute frappe effectuée par un utilisateur - même lorsque cet utilisateur clique sur un lien qui le redirige vers un autre site Web. Bien que TikTok ait mis en place ce système, Krause prévient qu'il ne prouve pas nécessairement qu'ils utilisent ou même collectent ces données :

Citation Envoyé par Felix Krause
Lorsque vous ouvrez un lien sur l'application iOS TikTok, il s'ouvre dans leur navigateur intégré à l'application. Pendant que vous interagissez avec le site Web, TikTok s'abonne à toutes les saisies au clavier (y compris les mots de passe, les informations de carte de crédit, etc.) et à chaque pression sur l'écran, comme les boutons et les liens sur lesquels vous cliquez.

  • TikTok iOS s'abonne à chaque frappe (entrées de texte) se produisant sur des sites Web tiers rendus dans l'application TikTok. Cela peut inclure des mots de passe, des informations de carte de crédit et d'autres données utilisateur sensibles. (keypress et keydown). Nous ne pouvons pas savoir à quoi TikTok utilise l'abonnement, mais d'un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers.
  • TikTok iOS s'abonne à chaque pression sur n'importe quel bouton, lien, image ou autre composant sur les sites Web rendus dans l'application TikTok.
  • TikTok iOS utilise une fonction JavaScript pour obtenir des détails sur l'élément sur lequel l'utilisateur a cliqué, comme une image (document.elementFromPoint)

TikTok nie avoir collecté des données utilisateur sensibles

Dans une déclaration partagée avec Forbes, un porte-parole de TikTok a reconnu le code JavaScript en question, mais a déclaré qu'il n'est utilisé que pour le débogage, le dépannage et la surveillance des performances afin de garantir une « expérience utilisateur optimale » :

« Comme d'autres plateformes, nous utilisons un navigateur intégré à l'application pour offrir une expérience utilisateur optimale, mais le code Javascript en question n'est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience - comme vérifier la vitesse de chargement d'une page ou si elle plante », a déclaré la porte-parole Maureen Shanahan dans un communiqué.

TikTok nie avec véhémence avoir collecté les données. Lors d'une apparition sur CNN en juillet, le responsable politique de TikTok Americas, Michael Beckerman, a déclaré que TikTok « n'enregistre pas ce que vous tapez. C'est une mesure antispam et antifraude qui vérifie le rythme de la façon dont les gens tapent pour s'assurer que ce n'est pas un bot ou une autre activité malveillante ».

Krause rétorque que le pouvoir de collecter les données est toujours un danger : « Supposons que les affirmations de TikTok sont correctes et qu'ils ne collectent pas les données », a-t-il déclaré. « Ils prétendent qu'ils ne le font pas maintenant, mais cela pourrait potentiellement changer à l'avenir. Je ne dis pas que cela va arriver, mais c'est une option, et c'est un problème en soi ».

Selon le porte-parole de TikTok, le code JavaScript fait partie d'un kit de développement logiciel (SDK) que TikTok exploite, et les fonctions "keypress" et "keydown" mentionnées par Krause sont des entrées courantes que TikTok n'utilise pas pour l'enregistrement des frappes.

TikTok encore embarqué dans une actualité évoquant sa collecte excessive de données

Dans une déclaration à un autre média, un porte-parole de TikTok a semblé confirmer l'existence du code, mais a rejeté le rapport de Krause : « Les conclusions du rapport sur TikTok sont incorrectes et trompeuses. Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quelque chose de malveillant, et admet qu'ils n'ont aucun moyen de savoir quel type de données notre navigateur intégré à l'application collecte. Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances », a déclaré un porte-parole de TikTok.

Rappelons que des chercheurs de la société australienne de cybersécurité Internet 2.0 ont publié une analyse approfondie de l'application de médias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette année. Ils ont déterminé que « l'application mobile TikTok ne donne pas la priorité à la confidentialité » et disent qu'elle entreprend une « récolte excessive de données ».

Le rapport de 15 pages note certains cas où l'application vérifie l'emplacement de l'appareil au moins une fois par heure. Il indique que TikTok a un accès permanent au calendrier sur le téléphone de l'utilisateur.

Les chercheurs ont également découvert que l'application est capable d'évaluer toutes les autres applications en cours d'exécution sur le téléphone et de savoir quelles autres applications sont également installées sur l'appareil.

Internet 2.0 a a déclaré que bien que TikTok précise que les données des utilisateurs étaient stockées à Singapour et aux États-Unis, son analyse a révélé de nombreux sous-domaines dans l'application iOS résolus dans le monde entier, notamment*: Sydney, Adélaïde et Melbourne, New York, Las Vegas, San Francisco, San José, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux États-Unis, Utama et Jakarta en Indonésie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.

« Au cours de l'analyse, nous n'avons pas pu déterminer avec une grande confiance le but de la connexion ou l'endroit où les données des utilisateurs sont stockées. La connexion au serveur chinois est gérée par Guizhou Baishan Cloud Technology, une société de cloud et de cybersécurité ».


S'adressant au quotidien australien ABC, Robert Potter d'Internet 2.0 a déclaré qu'il n'y avait aucune preuve spécifique que TikTok utilisait les vulnérabilités des applications pour réellement récolter des données. « Nous n'avons pas de visibilité sur ce qui est extrait exactement », a-t-il déclaré, précisant que « nous pouvons juste vous montrer ce que dit le code source et voir où les données sont envoyées... tout ce que nous pouvons dire, c'est que TikTok s'autorise à extraire les données ».

Internet 2.0 a également mis en évidence des inquiétudes concernant la version Apple de l'application avec une connexion serveur à la Chine continentale « qui est gérée par l'une des 100 meilleures sociétés chinoises de cybersécurité et de données, Guizhou Baishan Cloud Technology Co., Ltd. ».

Les chercheurs n'ont pas pu trouver une connexion similaire dans la version Android de l'application.

Robert Potter dit qu'il n'est pas clair quelles données, le cas échéant, sont envoyées en Chine. « Sous un examen attentif, nous l'avons vu se connecter à des serveurs du monde entier, y compris en Chine ».

Il a également noté que d'autres applications auront des liens de serveur vers la Chine, mais a affirmé que la société n'avait pas été totalement transparente dans le passé, avertissant que cela ne ferait qu'alimenter les inquiétudes concernant l'application.

TikTok a répondu aux allégations soulevées dans le rapport. Dans une déclaration au média australien Crikey, il a déclaré que « l'adresse IP est à Singapour, le trafic réseau ne quitte pas la région et il est catégoriquement faux de laisser entendre qu'il y a une communication avec la Chine ». « Les conclusions des chercheurs révèlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l'environnement de test approprié pour confirmer leurs affirmations sans fondement ».

Une solution de contournement

Krause a déclaré que les utilisateurs qui souhaitent se protéger de toute utilisation malveillante potentielle du code JavaScript dans les navigateurs intégrés devraient passer à l'affichage d'un lien donné dans le navigateur par défaut de la plateforme si possible, comme Safari sur iPhone et iPad.

« Chaque fois que vous ouvrez un lien depuis n'importe quelle application, voyez si l'application offre un moyen d'ouvrir le site Web actuellement affiché dans votre navigateur par défaut », a écrit Krause. « Au cours de cette analyse, toutes les applications autres que TikTok ont proposé un moyen de le faire ».

TikTok n'est pas la seule application concernée

Facebook et Instagram sont deux autres applications qui insèrent du code JavaScript dans des sites Web externes chargés dans leurs navigateurs intégrés, donnant aux applications la possibilité de suivre l'activité des utilisateurs, selon Krause. Dans un tweet, un porte-parole de la société mère de Facebook et Instagram, Meta, a déclaré que la société « a intentionnellement développé ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes ». « Ces affirmations déforment le fonctionnement du navigateur intégré à l'application Meta et de Pixel », a-t-il noté, indiquant que Meta a déjà communiqué avec le chercheur.


Krause a déclaré avoir créé un outil simple qui permet à quiconque de vérifier si un navigateur intégré à l'application injecte du code JavaScript lors du rendu d'un site Web. Le chercheur a déclaré que les utilisateurs doivent simplement ouvrir une application qu'ils souhaitent analyser, partager l'adresse InAppBrowser.com quelque part dans l'application (comme dans un message direct à une autre personne), appuyer sur le lien à l'intérieur de l'application pour l'ouvrir dans le navigateur intégré de l'application, et lire les détails du rapport affiché.

Krause estime qu'Apple est en partie responsable de la situation

Selon Krause, une partie de ce problème incombe à Apple, qui n'exige pas que les applications utilisent son navigateur Safari pour afficher des sites Web externes, bien qu'il le recommande. Krause a déclaré que les problèmes de sécurité seraient atténués si TikTok utilisait Safari au lieu de son propre navigateur intégré à l'application.

« Il existe des solutions qui permettront à TikTok d'afficher des sites Web dans leur application tout en assurant la sécurité des utilisateurs et en préservant leur vie privée », a-t-il déclaré.

Source : Felix Krause

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

325 commentaires
Commenter Signaler un problème
SimonKenoby
Avatar de SimonKenoby
Membre averti https://www.developpez.com
Le 11/01/2023 à 11:15
Moi, ce qui m'étonne, c'est que les réseaux sociaux soient autorisés sur des appareils gouvernementaux en 1er lieu.
7  0 
marc.collin
Avatar de marc.collin
Membre chevronné https://www.developpez.com
Le 21/10/2022 à 16:34
et les données des utilisateurs de twitter, facebook, instagram... ne courent pas le risque de se faire espionner par les usa?
6  0 
bouye
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 27/03/2023 à 0:15
Je suis pas spécialement paranoïaque ni ne pense que nos gouvernements ont des but cachés foncièrement mauvais mais je pense qu'on fait ou tente de faire probablement pareil de notre coté (ou sommes très envieux d'eux si on ne peut pas le faire).

Pour équilibrer un peu la chose, je rappelle juste qu'il y a qq années on "découvrait" que Facebook était capable même de sniffer et suivre les comportements des utilisateurs sur les téléphones ou son app était même pas installée. Et que sans parler de "collusion avec le gouv US", presque tous les fournisseurs de réseaux sociaux, de services de reconnaissance/commande vocale, mais aussi tous les fournisseurs de plateformes (Google) nous traquent tout le temps sous le prétexte que "nos apps et services marchent mieux comme ca".

Il y a bien longtemps déjà, le bouquin O'Reilly sur PGP commençait sur un chapitre parlant de la volonté du gouvernement Clinton d'imposer une puce de cryptage dans les TV permettant de réceptionner les réseaux câblé et que c’était mal car "le gouv US aurait pu alors vous espionner comme bon vous semble" (syndrome pourquoi les cartes de crédit avec puce ont eut du mal a décoller aux US). Décris comme ça, ça faisait très parano, mais c’était la raison 1ere de du dev de cet outil : mettre en accès libre un outil permettant a tout un chacun de crypter des trucs que le gouv US n'aurait pas pu casser (un raisonnement très américain en soit).

Bref, 25 ans plus tard, pas beaucoup de changements, les gouv nous traquent des que possible (Chine, Pegasus, révélations passées sur les écoutes du Gov US, les nôtres font sans doute pareil de toutes manières [et ça fait partie du jeu standard d'espionner ses ennemis comme ses alliés et aussi de tenter d'identifier les menaces internes potentielles]) et les majors tant orientales que occidentales font pareil aussi (soit pour collaborer avec leur gouv, soit pour se faire du fric sur notre dos via nos data ou de la pub, soit les deux)...

Pendant ce temps-la, il me semble avoir vu qu'un certain présentateur d'une certaines émission littéraire sur France 5 apparaissait également dans une campagne de pub pour "BookTok" (le partage d'avis littéraire sur TikTok) sur les chaînes du groupe France TV (et d'autres aussi probablement) récemment.
6  0 
Athaa
Avatar de Athaa
Membre à l'essai https://www.developpez.com
Le 27/03/2023 à 13:20
Citation Envoyé par Ryu2000 Voir le message
Ce mot n'existe pas, on doit dire "chiffrage".
Pour être précis on dit chiffrement.
Citation Envoyé par Ryu2000 Voir le message

Ce mot n'existe pas, on doit dire "chiffrer".
Désolé, j'aime bien le comique de répétition.
En effet crypter ne veux rien dire.
Pour s’en convaincre:
-déchiffrer : transformer un message crypté en message en clair, en utilisant la clé de déchiffrement.
-décrypter : transformer un message crypté en message en clair, sans connaître la clé de déchiffrement.
Je vous laisse déduire ce que veux dire chiffrer et ce voudrais dire crypter s’il existait.
6  0 
fodger
Avatar de fodger
Membre confirmé https://www.developpez.com
Le 27/03/2023 à 11:54
Toutes ces applications sont bonnes à vider le cerveau des gens, qu'on les supprime.
6  1 
denisys
Avatar de denisys
Membre expérimenté https://www.developpez.com
Le 27/03/2023 à 18:11
Pour moi.
Aucun smartphone avec un logiciel dit : réseaux sociaux, devrait être installé par les constructeurs.
Il devrait être un choix optionnel de l’utilisateur final !!
5  0 
herr_wann
Avatar de herr_wann
Membre confirmé https://www.developpez.com
Le 12/09/2022 à 17:07
Pensée émue pour Dailymotion qui a du ressentir la même chose en voyant Google déverser des milliards dans Youtube sans pouvoir rivaliser, la roue tourne
5  1 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 02/11/2022 à 12:03
Citation Envoyé par Bill Fassinou Voir le message
Que pensez-vous des déclarations du commissaire de la FCC ?
Le sous titre résume très bien la façon dont fonctionnent les USA vis-à-vis de leurs plus grandes entreprises: les actions de Meta et de Snap ont grimpé en flèche après cette déclaration

Citation Envoyé par Bill Fassinou Voir le message
Selon vous, TikTok est-il un outil de surveillance de Pékin comme le prétend les Américains ?
L'hôpital, la charité, la paille la poutre, tout ça...

Citation Envoyé par Bill Fassinou Voir le message
Que pensez-vous des applications américaines de médias sociaux ?
Ce sont des outils de surveillance des USA, peut-être pas à l'origine, mais du fait de la politique d'espionnage de ce pays et de ses alliéscomplices.

Citation Envoyé par Bill Fassinou Voir le message
Posent-elles des préoccupations en matière de sécurité nationale pour la France et les autres pays ?
Oui, évidemment, et c'est très bien de le rappeler, même si c'est évident.
4  0 
der§en
Avatar de der§en
Membre éclairé https://www.developpez.com
Le 03/01/2023 à 9:02
Bref, les ricains reprochent aux chinois, là aussi, de copier sur eux
4  0 
pcdwarf
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 06/01/2023 à 14:27
Moi j'ai pas compris la mécanique par laquelle tictok est tellement nuisible.

J'ai très bien compris en quoi c'était une usine à connerie, mais est-ce que c'est tellement pire qu'une "real-tv" lambda ?
De toute façon, c'est pas un critère. En tout cas si il fallait interdire tictok pour motif de stupidité, ça ne serait que le premier d'une très très très longue série et il ne resterait plus grand chose à la fin.

du coup, c'est quoi le truc réellement malicieux dedans ? comment ça collecte des données ? et comment ça les utilise (ou pourrait les utiliser) pour nuire ?
Et en quoi c'est pire que google, facebook, twitter et compagnie ?
4  0 
Commenter Signaler un problème