Après Facebook et Instagram, c’est au tour de TikTok de passer sur le grill de Felix Krause.
Après Meta, c’est désormais au tour de TikTok de passer sous le microscope de Felix Krause. Le fondateur de Fastlane, un outil open source qui facilite le développement d’application sous iOS et Android, s’est penché sur le cas de l’application chinoise. Ce n’est pas bien plus glorieux que ses aînées, qui se faisaient épingler en début de semaine. Là encore, c’est le navigateur web intégré qui l’a particulièrement intéressé.
Sur les réseaux sociaux, de nombreux liens externes sont proposés. Ils permettent dans le cas de la publicité par exemple d’accéder directement au site de l’annonceur. Le plus souvent, la page s’ouvre directement depuis l’application. Pour l’utilisateur, c’est la promesse d’une expérience plus fluide, mais ce n’est pas sans risques. Le réseau social en profite pour récupérer quelques informations au passage.
Dans le but d’afficher des publicités toujours plus ciblées, TikTok ajoute des lignes de codes Javascript aux sites visités sur iOS. Le but : savoir ce que vous faites sur Internet pour vous afficher des produits que vous avez déjà vu ou qui vous font de l’œil. Facebook, Instagram et TikTok ont tous les trois recours à ce procédé, sauf que dans le cas de TikTok cela va un peu plus loin que cela. L’application peut aussi savoir tout ce que vous tapez sur vos précieux smartphones Apple.
TikTok a accès à vos mots de passe
Felix Krause, dans son étude publiée par Forbes, détaille le processus utilisé. Concrètement, le code intégré par TikTok peut suivre tous vos mouvements sur le web. Il est aussi capable d’avoir accès à vos mots de passe et identifiants. Pour cela, il observe tout ce que vous tapez sur le clavier de votre iPhone. Krause détaille : “d’un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites web tiers.”
Il ajoute en revanche : “Ce n’est pas parce qu’une application injecte un JavaScript dans un site web externe qu’elle fait quelque chose de malveillant.” Pour autant, c’est un choix tout à fait conscient selon lui. “Ce n’est pas le fruit du hasard ou une erreur. C’est un choix de l’entreprise.”
Felix Krause modère néanmoins, car si ces applications injectent un code capable de traquer les mouvements des utilisateurs, rien n’indique qu’elles les utilisent pour récolter les données sur ses serveurs ou les vendre à un tiers. Le développeur ne dit pas non plus si ces données sont liées d’une manière à une autre aux utilisateurs. Facebook avait par exemple confirmé à Phonandroid que le processus de collecte était anonyme de son côté.
C’est d’ailleurs l’axe de défense de TikTok, qui justifie leur présence par une simple option de débogage. “Comme les autres plateformes, nous utilisons ce navigateur web intégré pour optimiser l’expérience utilisateur, mais le code Javascript en question est uniquement utilisé pour le dépannage et la surveillance des performances. C’est cela qui nous permet par exemple de vérifier la vitesse de chargement d’une page ou si celle-ci bloque” indique Maureen Shanahan, porte-parole de l’entreprise dans un communiqué.
Quels gestes adopter ?
Pour protéger vos données sensibles, Felix Krause donne quelques conseils. Il invite les internautes à ouvrir ce lien lorsqu’ils sont sur l’application en question. Vous pouvez par exemple vous l’envoyer entre amis via les DM. Ensuite, il vous sera possible de consulter le rapport en anglais. Sinon, il faudra dans tous les cas éviter d’ouvrir un lien directement dans l’application.
La plupart des applications propose d’ailleurs de le faire dans son navigateur par défaut. Toutes sauf TikTok qui ne permet pas de passer par Safari ou Chromepour ne citer qu’eux. Dans ce cas, il vaudrait mieux copier le lien pour ensuite le coller manuellement dans votre navigateur favori.
Forbes