Tout ce que saisit un utilisateur sur le navigateur interne de TikTok iOS est enregistré, alerte un spécialiste

Selon un chercheur qui a travaillé pour Google et Twitter, TikTok enregistre tout ce que saisit un utilisateur lorsqu’il se sert du navigateur interne de l’application sur iOS, y compris les mots de passe et les numéros de carte de crédit.

Felix Krause, développeur d’applications et chercheur dans le domaine de la protection de la vie privée, a publié un rapport sur les risques associés à certaines applications du système d’exploitation iOS en injectant du code JavaScript sur son navigateur interne.

Parmi les sept applications iOS les plus populaires qui ont été analysées, TikTok était la seule à ne pas donner aux utilisateurs la possibilité d’ouvrir les liens avec le navigateur par défaut de l’appareil. Il faut donc utiliser le navigateur interne de l’application.

Grâce à cela, explique M. Krause, l’application iOS de TikTok « surveille toutes les actions effectuées sur les sites Web, notamment les clics sur tous les boutons et liens ».

« TikTok iOS inscrit toutes les saisies (entrées de texte) sur les sites Web tiers ouverts via l’application TikTok. Il peut s’agir de mots de passe, d’informations sur les cartes de crédit et d’autres données sensibles de l’utilisateur », a indiqué M. Krause.

« Nous ne pouvons pas savoir à quelle fin TikTok exploite ces données, mais d’un point de vue technique, cela équivaut à installer un enregistreur de frappes sur des sites Web tiers. »

TikTok a confirmé que le code existe dans son application iOS, mais a affirmé qu’il ne l’utilisait pas.

« Comme d’autres plateformes, nous utilisons un navigateur in‑app pour offrir une expérience utilisateur optimale, mais le code Javascript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience – comme vérifier la vitesse de chargement d’une page ou si elle est en panne », a déclaré Maureen Shanahan, porte‑parole de TikTok, dans une déclaration obtenue par M. Krause.

M. Krause a analysé les applications de TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood et Messenger à l’aide d’un outil qu’il a développé et qui s’appelle InAppBrowser.com.

Selon le rapport, seuls Snapchat et Robinhood n’injectait pas de code JavaScript. Facebook, Instagram et Messenger injecte de ce code, mais M. Krause a déclaré que cela « ne signifie pas que l’application fait quelque chose de malveillant ».

« Ce n’est pas parce qu’une appli injecte du JavaScript dans des sites Web externes qu’elle fait quelque chose de malveillant. Il n’y a aucun moyen pour nous de connaître tous les détails sur le type de données que chaque navigateur in‑app collecte, ni comment (ou si) les données sont transférées et utilisées », a écrit M. Krause.

Les risques

Selon M. Krause, le risque survient lorsque les utilisateurs ouvrent des liens en utilisant une application iOS, telle que TikTok, et affichent la page Web rendue dans cette application au lieu d’ouvrir le lien avec un navigateur extérieur, tel que Safari ou Chrome.

Certains codes JavaScript permettent aux apps de savoir combien de temps l’utilisateur a visité tel site Web, quels liens il a ouverts, sur quoi il a tapoté. Ces applications peuvent aussi récupérer les données de localisation si elles sont activées. Certaines applications peuvent même créer des registres sur l’utilisateur ou « analyser son visage » pendant la navigation, a noté M. Krause dans une publication sur son blog, en 2018.

Cela se produit « sans le consentement de l’utilisateur, ni du fournisseur du site Web », a‑t‑il précisé.

Selon le rapport, par exemple, une personne qui utilise l’application Safari sur son iPhone peut avoir ses informations de connexion ou de carte de crédit enregistrées pour des raisons pratiques. Mais si elle visite une page avec le navigateur intégré de TikTok, toute information de connexion ou de paiement devra être saisie à nouveau et TikTok les enregistre. Ces saisies sont surveillées.

« Cela entraîne divers risques pour l’utilisateur, l’application hôte étant en mesure de suivre chaque interaction avec les sites Web externes, de toutes les entrées de formulaire comme les mots de passe et les adresses, jusqu’à chaque touche. »

Les experts en sécurité signalent depuis un bon moment que TikTok est une application douteuse en raison de ses liens avec le Parti communiste chinois (PCC). C’est pourquoi l’entreprise fait l’objet d’examenx minutieux.

TikTok a bien sûr déclaré ne se conformer à aucune demande du PCC concernant les données des utilisateurs. Cependant, la loi chinoise oblige toutes les entreprises du pays à coopérer avec les services de renseignements. En d’autres termes, tout ce qui passe par une entreprise chinoise est susceptible d’être récupéré par les services de renseignement chinois.

Casey Fleming, PDG de la société BlackOps Partners, spécialisée dans le renseignement et la stratégie de sécurité, rappelle que le PCC est engagé dans une « guerre hors limite » et qu’il cherche à supplanter les États‑Unis, pour devenir la seule superpuissance mondiale.

« Toute technologie sortant de Chine – qu’elle soit fabriquée en Chine ou simplement créée en Chine – est contrôlée par le PCC », déclare‑t‑il.

Selon un autre expert, l’application sert à espionner les Occidentaux. Elle représente une sérieuse menace du fait de l’énorme quantité de données que TikTok collecte sur ses utilisateurs. Il s’agit principalement de jeunes.

« Si on veut espionner un pays, à quoi servent des espions obsolètes ? Ne vaut‑il pas mieux créer une application géniale et la rendre virale ? », a déclaré Gary Miliefsky, expert en cybersécurité et éditeur du magazine Cyber Defense Magazine, dans une déclaration obtenue par Epoch Times.

***
Chers lecteurs,
Abonnez‑vous à nos newsletters pour recevoir notre sélection d’articles sur l’actualité.
https://www.epochtimes.fr/newsletter