Tiktok, très populaire en Suisse, inquiète les experts en cybersécurité.image: watson
Des spécialistes indépendants en sécurité informatique ont examiné l'application chinoise à la loupe et recommandent aux entreprises et aux autorités de porter un regard critique sur son utilisation.
19.04.2023, 11:5119.04.2023, 19:06
Suivez-moi
L'Institut national de test de cybersécurité (NTC) de Zoug a analysé les risques de l'application chinoise Tiktok et en tire une conclusion peu rassurante. Mais l'administration fédérale à Berne ne semble pas s'inquiéter de l'avertissement des experts indépendants en sécurité informatique et mise plutôt sur la responsabilité individuelle.
Quels sont les principaux risques de Tiktok?
Le NTC a publié une analyse technique de sécurité de près de 40 pages sur Tiktok. Les examinateurs recommandent de porter un regard critique sur l'utilisation de l'application, «en particulier sur les appareils utilisés dans un contexte professionnel et gouvernemental». L'utilisation devrait être «limitée au maximum».
Les conclusions principales:
- Lors de l'analyse de l'application, les contrôleurs n'ont constaté aucun indice de surveillance des utilisateurs. Mais ce n'est pas une raison pour lever l'alerte et il n'est pas possible de faire une «déclaration générale de non-danger».
- Une surveillance secrète des utilisateurs de Tiktok serait techniquement réalisable en raison des autorisations étendues accordées aux appareils par l'application.
- «L'application pourrait déjà contenir des fonctions de surveillance cachées qui ne se déclenchent que dans certaines conditions (par exemple à certains endroits ou à certaines heures).»
- Les contrôleurs ont en outre constaté qu'une petite partie de la communication avec les serveurs Tiktok était cryptée. Le contenu exact de cette communication n'est pas connu et il n'est pas clair quelles informations sont «éventuellement drainées» par ce canal.
- En outre, des fonctions cachées pourraient être «ajoutées» presque à l'insu de tous grâce aux mises à jour fréquentes, font remarquer les experts. Cela vaut pour chaque application et en particulier pour celles comme TikTok «qui disposent d'autorisations étendues».
- Parmi les «risques élevés» figure la transmission des données de contact des utilisateurs au groupe technologique chinois Bytedance. Certes, ces données ne sont pas accessibles en texte clair, mais Bytedance est probablement en mesure de les reconstituer.
- Le fait que Tiktok demande à l'iPhone l'emplacement exact de l'appareil à chaque démarrage et envoie cette information à Bytedance pose également problème.
- De plus, l'application – même si elle ne fonctionne qu'en arrière-plan – se connecte une fois par heure aux serveurs de Bytedance, ce qui permet d'établir un profil approximatif des déplacements des utilisateurs sur la base de leurs adresses IP.
- Enfin, il convient de rappeler que les messages de chat envoyés via Tiktok (contrairement à Whatsapp ou Signal) ne sont pas cryptés de bout en bout.
Comment TikTok a-t-il été examiné?
Lors de leur analyse, les spécialistes du NTC ont «veillé à ce que les conditions de test soient aussi proches que possible de la réalité, sans mesures de protection particulières», indiquent-ils dans un communiqué. En d'autres termes, ils ont tenté de déjouer les éventuels mécanismes de protection et de camouflage qui pourraient être intégrés dans l'application par les développeurs.
Les versions suivantes de l'application ont été examinées:
- Android: 28.3.3
- iOS (iPhone): 28.2.0 et 28.4.0
Tobias Castagna, responsable des tests chez NTC, a expliqué à watson qu'il n'avait pas été possible de vérifier le fonctionnement de l'application dans les moindres détails techniques en raison de l'immense investissement en temps et en personnel que cela aurait demandé.
Qu'est-ce qui n'a pas été examiné?
- La «protection contre la manipulation, la censure et l'influence politique sur l'opinion» n'a pas fait l'objet d'analyses.
- Faute de temps, il n'a non plus pas été possible de procéder à des observations techniques à long terme ni à une analyse détaillée de tous les composants logiciels.
Le rapport du NTC souligne qu'il ne s'agit que d'une analyse de l'état actuel. Les éventuelles adaptations apportées à l'application par le développeur, avant ou après, ne peuvent pas être enregistrées.
La Confédération va-t-elle interdire Tiktok?
Ça n'en a pas l'air.
La Chancellerie fédérale recommande aux employés de l'administration fédérale de faire preuve de retenue dans l'utilisation des réseaux sociaux comme Tiktok, rapporte la NZZ. Dans un fascicule récemment rédigé sur le sujet, on peut lire: «Donnez aussi peu de droits que possible aux apps».
Alors que plusieurs pays européens, l'Union européenne, les Etats-Unis et bien d'autres jouent la carte de la sécurité et ont banni Tiktok des téléphones portables professionnels, le gouvernement suisse ne voit apparemment aucune raison d'agir.
Les données professionnelles précieuses sont traitées sur les téléphones portables de service dans un environnement isolé, une «sandbox», résume la NZZ pour expliquer l'argument de la Chancellerie fédérale. Ces informations sensibles sont ainsi protégées de l'accès de Tiktok.
Cette protection serait toutefois limitée. «Tiktok peut quand même accéder aux données de localisation du téléphone portable professionnel ou aux contacts privés.» De plus, la caméra et le microphone ne seraient pas non plus protégés par la sandbox.
«La Confédération fait donc fortement confiance à ses employés pour qu'ils n'utilisent pas Tiktok, ou seulement avec les restrictions nécessaires, sous leur propre responsabilité.»
source: nzz.ch
Traduit et adapté de l'allemand par Tanja Maeder
Qu'est-ce que le NTC?
L'Institut national de test pour la cybersécurité (NTC) examine «les produits et infrastructures numériques qui ne sont pas ou pas suffisamment testés par le secteur privé». Cette organisation à but non lucratif, basée à Zoug, a été créée en 2020 à l'initiative du canton. Ses experts indépendants travaillent en collaboration avec le Centre national de cybersécurité (NCSC), mais aussi avec des universités et d'autres comités de cybersécurité.
Selon la Neue Zürcher Zeitung (NZZ), l'idée d'un institut national de contrôle est venue de l'association professionnelle ICT Switzerland. L'objectif: augmenter la sécurité dans la chaîne d'approvisionnement des produits informatiques. Il y a régulièrement des cas «où des portes dérobées sont intégrées dans des produits et utilisées par exemple par des services de renseignement».
L'Armée suisse charge une entreprise externe d'analyser l'impact des relations publiques et de la couverture médiatique. Elle justifie sa décision par le fait qu'elle a besoin d'un regard «extérieur et non coloré».
Pour l'Armée suisse, les enjeux actuels sont de taille. Dans les années à venir, elle recevra nettement plus d'argent – le montant de cette augmentation fait toujours l'objet de débats politiques. Et elle sera encore plus sous les feux de la rampe que d'habitude. Il est donc d'autant plus important pour elle d'être perçue de manière positive.
