WTF ? ! Felix Krause, chercheur en logiciels et fondateur de Fastlane, a récemment fait des reportages sur l’application sociale populaire TikTok. Krause affirme que le code JavaScript intégré au navigateur intégré à l’application est actuellement utilisé pour suivre les frappes au clavier, les pressions sur l’écran, le texte copié, etc. Krause considère qu’il s’agit d’un problème de sécurité majeur. TikTok affirme que ce code est strictement à des fins de débogage et n’est en aucun cas utilisé pour suivre ou enregistrer les informations d’un utilisateur pendant qu’il utilise l’application.
TikTok est largement considéré comme l’une des applications mobiles les plus populaires aujourd’hui, en particulier chez les jeunes. Avec 2,6 milliards de téléchargements depuis son lancement en 2016 et les revendications de TikTok pouvant atteindre un milliard d’utilisateurs mondiaux actifs, cette déclaration a certainement son poids.
TikTok a eu sa juste part de problèmes de sécurité dans le passé, même le commissaire de la FCC, Brendan Carr, appelant Apple et Google à le retirer de leurs magasins d’applications respectifs. Ces préoccupations ont récemment été rendues plus importantes avec un rapport publié par Felix Krause, un chercheur en logiciel bien connu et fondateur de Fastlane.
Krause déclare que TikTok a un code JavaScript intégré dans le navigateur intégré à l’application, utilisé lorsque les utilisateurs cliquent sur des liens tout en faisant défiler l’application. Il note que le code intégré dans le navigateur n’est pas le problème, car presque toutes les applications avec des navigateurs intégrés ont cette forme de code, y compris Facebook, Instagram et Snapchat. Là où réside le problème, c’est ce que le code JavaScript a l’intention de faire pendant que l’utilisateur interagit avec le navigateur.
Krause révèle que le code suit l’emplacement des pressions sur l’écran, le texte qu’un utilisateur copie dans le navigateur. Mais plus important encore, le code suit chaque frappe que quelqu’un fait pendant son séjour dans le navigateur. Les deux premiers points ne sont pas aussi préoccupants, note Krause. Plusieurs applications suivent également les tapotements sur l’écran et le texte copié. Cependant, TikTok était la seule application lors de ses tests qui enregistrait les frappes de quelque manière que ce soit. Il s’agit sans aucun doute d’un problème de sécurité majeur pour les utilisateurs, insiste Krause.
TikTok n’a pas tardé à tenter de réfuter le rapport de Krause, insistant sur le fait que le code JavaScript contenant l’enregistrement de frappe, les données d’écran et l’enregistrement des liens copiés des utilisateurs est utilisé strictement pour le débogage.
La société souligne par ailleurs que le code a été inclus dans un « kit de développement logiciel tiers », également connu sous le nom de SDK, et que les problèmes de sécurité liés au code ne sont ni utilisés ni surveillés par TikTok. Cependant, lorsqu’il a été interrogé à ce sujet, TikTok n’a pas répondu aux questions concernant le SDK ou qui l’a spécifiquement créé.
La montée en puissance de TikTok a entraîné une controverse monumentale. Depuis ses débuts, on craint que la société mère de TikTok ne soit étroitement liée au gouvernement chinois. La lettre du commissaire de la FCC affirmant que l’application est utilisée essentiellement pour fournir une surveillance et extraire des données de l’utilisateur n’était que le dernier des nombreux appels à cesser d’utiliser l’application.
Les découvertes de Krause ajoutent simplement une autre raison d’arrêter d’utiliser TikTok. Mais les utilisateurs et les créateurs de contenu s’en soucieront-ils ? Les problèmes de sécurité peuvent dépasser de loin la valeur de divertissement que TikTok fournit à certains, mais la dernière fois que nous avons vérifié, les revenus publicitaires de TikTok devraient atteindre 11 milliards de dollars, plus que Twitter et Snapchat réunis.