IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le navigateur intégré à TikTok contient un code qui pourrait être utilisé pour tracer des données telles que des mots de passe et des numéros de carte de crédit

Le , par Stéphane le calme
256 commentaires

24PARTAGES

9  0 
Selon le chercheur en sécurité Felix Krause, le navigateur intégré à l'application de TikTok sur iOS aurait injecté du code JavaScript dans des sites Web externes qui permet à TikTok de surveiller « toutes les entrées et pressions du clavier » pendant qu'un utilisateur interagit avec un site Web donné. TikTok s'est empressé de déclarer que le code n'est pas utilisé pour des raisons malveillantes.

Krause a déclaré que le navigateur intégré à l'application de TikTok « s'abonne » à toutes les entrées du clavier pendant qu'un utilisateur interagit avec un site Web externe, y compris tous les détails sensibles tels que les mots de passe et les informations de carte de crédit, ainsi que chaque pression sur l'écran. Et de préciser que « quand je dis que "l'application s'abonne à", je veux dire que l'application s'abonne aux événements JavaScript de ce type (par exemple, toutes les frappes sur l'écran). Il n'y a aucun moyen de vérifier ce qui se passe avec les données ».

« D'un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers », a écrit Krause, à propos du code JavaScript que TikTok injecte. Cependant, le chercheur a ajouté que « ce n'est pas parce qu'une application injecte du JavaScript dans des sites Web externes que l'application fait quelque chose de malveillant ».

L'application de TikTok comprend un code qui pourrait permettre à l'entreprise de surveiller tout ce que les utilisateurs tapent lors de l'utilisation de l'application, même lorsqu'ils sont redirigés vers des sites Web tiers, ce qui permet à l'application de médias sociaux de voir des données sensibles telles que des mots de passe et des numéros de carte de crédit, selon un chercheur en sécurité qui estime qu'Apple devrait prendre des mesures pour résoudre le problème potentiel.

Felix Krause dit avoir découvert la capacité de TikTok à surveiller les données des utilisateurs grâce à sa fonction de navigation intégrée à l'application et a publié ses découvertes dans un billet de blog. Krause a trouvé un code qui a montré que TikTok a la capacité de surveiller toute frappe effectuée par un utilisateur - même lorsque cet utilisateur clique sur un lien qui le redirige vers un autre site Web. Bien que TikTok ait mis en place ce système, Krause prévient qu'il ne prouve pas nécessairement qu'ils utilisent ou même collectent ces données :

Citation Envoyé par Felix Krause
Lorsque vous ouvrez un lien sur l'application iOS TikTok, il s'ouvre dans leur navigateur intégré à l'application. Pendant que vous interagissez avec le site Web, TikTok s'abonne à toutes les saisies au clavier (y compris les mots de passe, les informations de carte de crédit, etc.) et à chaque pression sur l'écran, comme les boutons et les liens sur lesquels vous cliquez.

  • TikTok iOS s'abonne à chaque frappe (entrées de texte) se produisant sur des sites Web tiers rendus dans l'application TikTok. Cela peut inclure des mots de passe, des informations de carte de crédit et d'autres données utilisateur sensibles. (keypress et keydown). Nous ne pouvons pas savoir à quoi TikTok utilise l'abonnement, mais d'un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers.
  • TikTok iOS s'abonne à chaque pression sur n'importe quel bouton, lien, image ou autre composant sur les sites Web rendus dans l'application TikTok.
  • TikTok iOS utilise une fonction JavaScript pour obtenir des détails sur l'élément sur lequel l'utilisateur a cliqué, comme une image (document.elementFromPoint)

TikTok nie avoir collecté des données utilisateur sensibles

Dans une déclaration partagée avec Forbes, un porte-parole de TikTok a reconnu le code JavaScript en question, mais a déclaré qu'il n'est utilisé que pour le débogage, le dépannage et la surveillance des performances afin de garantir une « expérience utilisateur optimale » :

« Comme d'autres plateformes, nous utilisons un navigateur intégré à l'application pour offrir une expérience utilisateur optimale, mais le code Javascript en question n'est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience - comme vérifier la vitesse de chargement d'une page ou si elle plante », a déclaré la porte-parole Maureen Shanahan dans un communiqué.

TikTok nie avec véhémence avoir collecté les données. Lors d'une apparition sur CNN en juillet, le responsable politique de TikTok Americas, Michael Beckerman, a déclaré que TikTok « n'enregistre pas ce que vous tapez. C'est une mesure antispam et antifraude qui vérifie le rythme de la façon dont les gens tapent pour s'assurer que ce n'est pas un bot ou une autre activité malveillante ».

Krause rétorque que le pouvoir de collecter les données est toujours un danger : « Supposons que les affirmations de TikTok sont correctes et qu'ils ne collectent pas les données », a-t-il déclaré. « Ils prétendent qu'ils ne le font pas maintenant, mais cela pourrait potentiellement changer à l'avenir. Je ne dis pas que cela va arriver, mais c'est une option, et c'est un problème en soi ».

Selon le porte-parole de TikTok, le code JavaScript fait partie d'un kit de développement logiciel (SDK) que TikTok exploite, et les fonctions "keypress" et "keydown" mentionnées par Krause sont des entrées courantes que TikTok n'utilise pas pour l'enregistrement des frappes.

TikTok encore embarqué dans une actualité évoquant sa collecte excessive de données

Dans une déclaration à un autre média, un porte-parole de TikTok a semblé confirmer l'existence du code, mais a rejeté le rapport de Krause : « Les conclusions du rapport sur TikTok sont incorrectes et trompeuses. Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quelque chose de malveillant, et admet qu'ils n'ont aucun moyen de savoir quel type de données notre navigateur intégré à l'application collecte. Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances », a déclaré un porte-parole de TikTok.

Rappelons que des chercheurs de la société australienne de cybersécurité Internet 2.0 ont publié une analyse approfondie de l'application de médias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette année. Ils ont déterminé que « l'application mobile TikTok ne donne pas la priorité à la confidentialité » et disent qu'elle entreprend une « récolte excessive de données ».

Le rapport de 15 pages note certains cas où l'application vérifie l'emplacement de l'appareil au moins une fois par heure. Il indique que TikTok a un accès permanent au calendrier sur le téléphone de l'utilisateur.

Les chercheurs ont également découvert que l'application est capable d'évaluer toutes les autres applications en cours d'exécution sur le téléphone et de savoir quelles autres applications sont également installées sur l'appareil.

Internet 2.0 a a déclaré que bien que TikTok précise que les données des utilisateurs étaient stockées à Singapour et aux États-Unis, son analyse a révélé de nombreux sous-domaines dans l'application iOS résolus dans le monde entier, notamment*: Sydney, Adélaïde et Melbourne, New York, Las Vegas, San Francisco, San José, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux États-Unis, Utama et Jakarta en Indonésie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.

« Au cours de l'analyse, nous n'avons pas pu déterminer avec une grande confiance le but de la connexion ou l'endroit où les données des utilisateurs sont stockées. La connexion au serveur chinois est gérée par Guizhou Baishan Cloud Technology, une société de cloud et de cybersécurité ».


S'adressant au quotidien australien ABC, Robert Potter d'Internet 2.0 a déclaré qu'il n'y avait aucune preuve spécifique que TikTok utilisait les vulnérabilités des applications pour réellement récolter des données. « Nous n'avons pas de visibilité sur ce qui est extrait exactement », a-t-il déclaré, précisant que « nous pouvons juste vous montrer ce que dit le code source et voir où les données sont envoyées... tout ce que nous pouvons dire, c'est que TikTok s'autorise à extraire les données ».

Internet 2.0 a également mis en évidence des inquiétudes concernant la version Apple de l'application avec une connexion serveur à la Chine continentale « qui est gérée par l'une des 100 meilleures sociétés chinoises de cybersécurité et de données, Guizhou Baishan Cloud Technology Co., Ltd. ».

Les chercheurs n'ont pas pu trouver une connexion similaire dans la version Android de l'application.

Robert Potter dit qu'il n'est pas clair quelles données, le cas échéant, sont envoyées en Chine. « Sous un examen attentif, nous l'avons vu se connecter à des serveurs du monde entier, y compris en Chine ».

Il a également noté que d'autres applications auront des liens de serveur vers la Chine, mais a affirmé que la société n'avait pas été totalement transparente dans le passé, avertissant que cela ne ferait qu'alimenter les inquiétudes concernant l'application.

TikTok a répondu aux allégations soulevées dans le rapport. Dans une déclaration au média australien Crikey, il a déclaré que « l'adresse IP est à Singapour, le trafic réseau ne quitte pas la région et il est catégoriquement faux de laisser entendre qu'il y a une communication avec la Chine ». « Les conclusions des chercheurs révèlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l'environnement de test approprié pour confirmer leurs affirmations sans fondement ».

Une solution de contournement

Krause a déclaré que les utilisateurs qui souhaitent se protéger de toute utilisation malveillante potentielle du code JavaScript dans les navigateurs intégrés devraient passer à l'affichage d'un lien donné dans le navigateur par défaut de la plateforme si possible, comme Safari sur iPhone et iPad.

« Chaque fois que vous ouvrez un lien depuis n'importe quelle application, voyez si l'application offre un moyen d'ouvrir le site Web actuellement affiché dans votre navigateur par défaut », a écrit Krause. « Au cours de cette analyse, toutes les applications autres que TikTok ont proposé un moyen de le faire ».

TikTok n'est pas la seule application concernée

Facebook et Instagram sont deux autres applications qui insèrent du code JavaScript dans des sites Web externes chargés dans leurs navigateurs intégrés, donnant aux applications la possibilité de suivre l'activité des utilisateurs, selon Krause. Dans un tweet, un porte-parole de la société mère de Facebook et Instagram, Meta, a déclaré que la société « a intentionnellement développé ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes ». « Ces affirmations déforment le fonctionnement du navigateur intégré à l'application Meta et de Pixel », a-t-il noté, indiquant que Meta a déjà communiqué avec le chercheur.


Krause a déclaré avoir créé un outil simple qui permet à quiconque de vérifier si un navigateur intégré à l'application injecte du code JavaScript lors du rendu d'un site Web. Le chercheur a déclaré que les utilisateurs doivent simplement ouvrir une application qu'ils souhaitent analyser, partager l'adresse InAppBrowser.com quelque part dans l'application (comme dans un message direct à une autre personne), appuyer sur le lien à l'intérieur de l'application pour l'ouvrir dans le navigateur intégré de l'application, et lire les détails du rapport affiché.

Krause estime qu'Apple est en partie responsable de la situation

Selon Krause, une partie de ce problème incombe à Apple, qui n'exige pas que les applications utilisent son navigateur Safari pour afficher des sites Web externes, bien qu'il le recommande. Krause a déclaré que les problèmes de sécurité seraient atténués si TikTok utilisait Safari au lieu de son propre navigateur intégré à l'application.

« Il existe des solutions qui permettront à TikTok d'afficher des sites Web dans leur application tout en assurant la sécurité des utilisateurs et en préservant leur vie privée », a-t-il déclaré.

Source : Felix Krause

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

256 commentaires
Commenter Signaler un problème
SimonKenoby
Avatar de SimonKenoby
Membre averti https://www.developpez.com
Le 11/01/2023 à 11:15
Moi, ce qui m'étonne, c'est que les réseaux sociaux soient autorisés sur des appareils gouvernementaux en 1er lieu.
7  0 
marc.collin
Avatar de marc.collin
Membre chevronné https://www.developpez.com
Le 21/10/2022 à 16:34
et les données des utilisateurs de twitter, facebook, instagram... ne courent pas le risque de se faire espionner par les usa?
6  0 
Jo6466
Avatar de Jo6466
Nouveau Candidat au Club https://www.developpez.com
Le 23/03/2023 à 13:12
Il ne faut pas avoir fait l'Ena pour comprendre que l'Europe répond à la demande de l'Amérique d'empêcher que Tiktok remplace Google
Le plus cynique dans l'histoire c'est que l'on accuse Tiktok de choses que Google fait certainement depuis des décénies ... l'espionnage de l'Europe
5  0 
herr_wann
Avatar de herr_wann
Membre confirmé https://www.developpez.com
Le 12/09/2022 à 17:07
Pensée émue pour Dailymotion qui a du ressentir la même chose en voyant Google déverser des milliards dans Youtube sans pouvoir rivaliser, la roue tourne
5  1 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 02/11/2022 à 12:03
Citation Envoyé par Bill Fassinou Voir le message
Que pensez-vous des déclarations du commissaire de la FCC ?
Le sous titre résume très bien la façon dont fonctionnent les USA vis-à-vis de leurs plus grandes entreprises: les actions de Meta et de Snap ont grimpé en flèche après cette déclaration

Citation Envoyé par Bill Fassinou Voir le message
Selon vous, TikTok est-il un outil de surveillance de Pékin comme le prétend les Américains ?
L'hôpital, la charité, la paille la poutre, tout ça...

Citation Envoyé par Bill Fassinou Voir le message
Que pensez-vous des applications américaines de médias sociaux ?
Ce sont des outils de surveillance des USA, peut-être pas à l'origine, mais du fait de la politique d'espionnage de ce pays et de ses alliéscomplices.

Citation Envoyé par Bill Fassinou Voir le message
Posent-elles des préoccupations en matière de sécurité nationale pour la France et les autres pays ?
Oui, évidemment, et c'est très bien de le rappeler, même si c'est évident.
4  0 
der§en
Avatar de der§en
Membre éclairé https://www.developpez.com
Le 03/01/2023 à 9:02
Bref, les ricains reprochent aux chinois, là aussi, de copier sur eux
4  0 
pcdwarf
Avatar de pcdwarf
Membre éprouvé https://www.developpez.com
Le 06/01/2023 à 14:27
Moi j'ai pas compris la mécanique par laquelle tictok est tellement nuisible.

J'ai très bien compris en quoi c'était une usine à connerie, mais est-ce que c'est tellement pire qu'une "real-tv" lambda ?
De toute façon, c'est pas un critère. En tout cas si il fallait interdire tictok pour motif de stupidité, ça ne serait que le premier d'une très très très longue série et il ne resterait plus grand chose à la fin.

du coup, c'est quoi le truc réellement malicieux dedans ? comment ça collecte des données ? et comment ça les utilise (ou pourrait les utiliser) pour nuire ?
Et en quoi c'est pire que google, facebook, twitter et compagnie ?
4  0 
Waikiki
Avatar de Waikiki
Membre averti https://www.developpez.com
Le 27/01/2023 à 13:27
Ça serait bien que tout les pays d'Europe fassent de même mais sans se limiter à Tiktok, il faudrait aussi bannir Facebook, Twitter, Snapchat, Instagram, Whatsapp vu que le gouvernement US oblige les entreprises US du numérique à coopérer avec leurs services (comme l'a dit Ryu2000).

Mais bon, on peut rêver, déjà qu'aucun pays n'ose s'opposer à l'extraterritorialité du droit américain.
4  0 
micka132
Avatar de micka132
Expert confirmé https://www.developpez.com
Le 13/09/2022 à 10:28
Citation Envoyé par Stéphane le calme Voir le message
Que pensez-vous des propos du PDG de Snap qui pense que le succès de TikTok s'est fait à coup de milliards de dollars ? Attribuez-vous la popularité de Tiktok à un ou plusieurs autres facteurs ? Lesquels ?
J'en pense que c'est juste du foutage de gueule.
Les startups américaines bénéficient d'investissement faramineux comparativement à ce que l'on trouve en Europe, et surtout n'ont aucun problème avec la "vente à perte" ou assimilé, qui est purement et simplement interdit chez nous.

Là les mecs sont justes en train de se plaindre qu'ils trouvent plus "déloyals" qu'eux.
3  0 
Ryu2000
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 13/09/2022 à 13:49
Citation Envoyé par Stéphane le calme Voir le message
TikTok a agressivement éloigné les jeunes utilisateurs de Meta et est maintenant plus populaire parmi les adolescents qu'Instagram et Snapchat, selon les données d'août du Pew Research Center
Pour une fois qu'une application populaire ne vient pas des USA !
Ce n'est pas souvent qu'une entreprise chinoise inquiète des entreprises US. Quoi qu'il y avait peut-être Huawei avec les antennes 5G.

Citation Envoyé par Stéphane le calme Voir le message
Partagez-vous les inquiétudes soulevées par les PDG de la tech et les politiciens ?
On dirait que ça les embête qu'un outil de manipulation ne vienne pas des USA.

On se fait déjà manipuler par les algorithmes de Google, YouTube, Facebook, Twitter, Instagram, etc, maintenant il y a également un chinois.
Se faire voler ses données personnelles par une entreprise chinoise, ce n'est pas très différent que de se les faire voler par une entreprise US.

Il parait que les algorithmes TikTok sont paramétrés différemment selon les pays (en Chine TikTok mettrait en avant des vidéos plus constructives qu'ailleurs dans le monde, mais ce n'est peut-être que des rumeurs).
4  1 
Commenter Signaler un problème