De nouvelles recherches ont révélé que le navigateur intégré à l'application TikTok avait la capacité de surveiller certains types d'activité des utilisateurs sur les sites Web externes auxquels il accède (cf. https://www.cnet.com/tech/services and software/TikToks in app browser can monitor your keystrokes researcher says/).

D'après des recherches publiées récemment par Felix Krause, chercheur en logiciels basé à Vienne, lorsque les utilisateurs de TikTok accèdent à un site Web via un lien dans l'application TikTok, l'application insère un code dans le site Web qui permet à TikTok de surveiller certaines activités comme les frappes au clavier et ce que les utilisateurs tapent sur ce site (cf. https://krausefx.com/blog/announcing inappbrowsercom see what javascript commands get executed in an in app browser).

Cela pourrait permettre à TikTok de capturer des informations personnelles sur les utilisateurs telles que des numéros de carte de crédit et des mots de passe, bien que l'entreprise affirme ne pas le faire. L'application est capable d'insérer le code et de modifier les sites Web pour permettre cette surveillance car les sites sont ouverts dans le navigateur intégré de TikTok, plutôt que dans un navigateur standard comme Chrome ou Safari.

TikTok, qui est la propriété de l'entreprise chinoise d'Internet ByteDance, a déclaré que le rapport de M. Krause était «inexact et trompeur» et que la fonction en question était utilisée pour «le débogage, le dépannage et la surveillance des performances» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok browser tracking.html).

Pour sa part, le Sénat américain a approuvé à l'unanimité l'exclusion de l'appli populaire TikTok des téléphones professionnels des fonctionnaires gouvernementaux américains. Selon l'initiateur du texte de loi, l'appli chinoise est «un cheval de Troie pour le Parti communiste chinois».

Aux États-Unis, la crainte est grande que TikTok et sa société mère ByteDance puissent partager des informations d'utilisateurs américains avec les autorités chinoises. Le directeur du Federal Bureau of Investigation (FBI), Christopher Wray, a déjà mis en garde contre le fait que les entreprises chinoises sont légalement tenues de partager des informations si le gouvernement chinois le requiert.

Des sources proches du dossier ont confié à l'agence de presse Bloomberg que le gouvernement américain avait déjà tenté de conclure avec TikTok un accord qui devait fournir des garanties de sécurité supplémentaires en ce qui concerne le stockage des données des utilisateurs. La conclusion de cet accord a échoué, le ministère de la Justice s'y étant opposé. Reste aussi à savoir dans quelle mesure un tel accord peut effectivement protéger les données des utilisateurs américains contre les abus (cf. https://www.ad.nl/tech/amerikaanse senaat unaniem ambtenaren mogen geen tiktok meer op hun telefoon hebben~a72ffa42/).

En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.

J'aimerais dès lors vous poser les questions suivantes :

1) Nos services de sécurité et spécialistes des technologies de l'information vous ont-ils déjà communiqué des éléments indiquant que l'application chinoise TikTok pourrait présenter des risques majeurs pour la sécurité ? Si oui, combien de signalements avez-vous reçus, à quelle période et quelle suite leur a été réservée ? Quelles sont les mesures qui ont été prises ? Dans la négative, pour quelle raison ?

2) Aux États-Unis, des dispositions sont en cours d'élaboration en vue d'interdire l'utilisation de l'application précitée à tous les fonctionnaires. Selon vous, est-il opportun ou non d'envisager des mesures similaires pour nos propres fonctionnaires ? Pouvez-vous expliciter votre réponse ?

3) Seriez-vous éventuellement favorable à une interdiction ou à une restriction de l'utilisation de cette application par les personnes qui travaillent dans des secteurs stratégiquement sensibles, comme le personnel des centrales nucléaires, les fonctionnaires, les personnes chargées du maintien de l'ordre, les militaires, le personnel ferroviaire, le personnel hospitalier, les gestionnaires des réseaux d'électricité et d'eau, etc. ? Pourquoi êtes-vous / n'êtes-vous pas favorable à une telle mesure ? Si vous y êtes favorable, comment encadreriez-vous une telle restriction ? Si pas, quelle en est la raison ?

4) Pouvez-vous préciser s'il existe déjà des directives à l'attention de nos fonctionnaires, responsables politiques, personnes en charge du maintien de l'ordre, etc. en ce qui concerne l'utilisation d'applications connues pour être potentiellement dangereuses ou pour représenter un risque accru en termes de failles de sécurité ? Existe-t-il une liste de telles applications ? Si oui, combien d'applications sont concernées ? Quelles autres mesures sont prises par nos fonctionnaires et autres pour éviter qu'ils soient victimes, à leur insu, de fuites de données par le biais d'applications dont la sécurité ne serait pas garantie ? Une distinction est-elle faite entre les téléphones privés et les téléphones professionnels ?

5) Combien de nos pouvoirs et services publics utilisent l'application précitée dans le cadre de leur communication officielle ? Pourriez-vous en établir la liste ? Quelles garanties les services concernés ont-ils que cela ne les expose pas à un espionnage mené par le Parti communiste chinois (PCC) ?

6) S'il devait s'avérer que TikTok a effectivement collecté de manière illicite des informations relatives à des Belges, comment pourriez-vous veiller à ce qu'elles soient supprimées par TikTok ? Quelle est notre capacité d'action à cet égard ?

7) Pourriez-vous, si possible, répertorier combien de fois la Belgique a déjà déposé plainte contre TikTok ou ByteDance pour des atteintes au respect de la vie privée ? Pourriez-vous ventiler ce chiffre par année, en précisant le résultat de la plainte ?

1) Mes services m’ont confirmé qu’aucun appel spécifique n’a encore été lancé pour interdire TikTok. Pour traiter des risques potentiels liés à ce type d’application, la police fédérale a diffusé les communications ou directives suivantes concernant «Les principes en matière de traitement de données à caractère personnel» et «La stratégie et l’utilisation relative aux médias sociaux». Ces directives se retrouvent également sur le site Sharepoint de la police.

2) Cette question parlementaire ne relève pas de mes compétences mais de la compétence du premier ministre dont dépend le Centre for Cyber Security Belgium (CCB).

3) Une interdiction absolue sans discernement pourrait avoir un effet négatif pour la police parce qu’il y a un intérêt opérationnel d’être présent dans les médias sociaux et ce compris TikTok. Il est vrai que la police fédérale continue de sensibiliser les employés aux risques de protection des données et de sécurité de l’information liés à ce type d’utilisation.

4) Il n’y a pas de liste spécifique d’applications à caractère dangereux.

Pour les ordinateurs du réseau sécurisé de la GPI («Hilde» – accès Internet restreint), les applications validées par la direction de l’Information opérationnelle et des TIC (DRI) ont été rendues accessibles par le biais d’une application interne centrale et sécurisée qui sert de passerelle vers les applications et les sites web. Les applications ne sont rendues accessibles que par un acte manuel des administrateurs du système central, après une analyse approfondie des risques.

Pour les ordinateurs hors de ce réseau sécurisé (accès Internet standard), l’installation d’application se fait par les gestionnaires techniques centraux et seules les applications via le store Microsoft sont installables par l’utilisateur.

Pour les appareils mobiles (smartphones, tablettes, etc.), il existe deux configurations possibles:

– un appareil configuré par la police ne permet que l’installation d’applications validées par DRI;

– quant aux configurations hybrides (privé - police), l’utilisateur peut installer ses propres applications dans la partie privée, tandis que seules les applications définies par DRI sont disponibles dans la partie professionnelle. Une «policy» force les paramètres de sécurité.

Au sein du service public fédéral (SPF) Intérieur, un plan de sécurité de l’information est en cours d’élaboration afin d’imposer aux collaborateurs des directives plus claires et de sensibiliser davantage au domaine de la cybersécurité. Plusieurs départements disposent déjà de règles de sécurité de l’information, comme une ligne d’action BYOD («bring your own device») qui traite de l’utilisation des smartphones (à des fins privées ou professionnelles) et qui invite leurs collaborateurs à ne pas traiter de données sur des appareils qui ne font pas l’objet d’une bonne maintenance. Des initiatives sont en cours pour déployer ce type de lignes d’action à partir du niveau central afin d’aboutir à une norme de sécurité minimale dans l’ensemble de l’organisation.

Je rappelle également que la plupart des données, disponibles sur le téléphone privé ou professionnel de l’employé, partent de l’environnement O365 (Outlook, OneDrive, Office 365, etc.). Le trafic de données suspect, les comportements anormaux, la lecture de courriels depuis un autre pays ou la connexion à un compte professionnel avec des applications peu fiables sont surveillés en temps réel par l’équipe de cybersécurité. Même si la surveillance directe n’est pas possible sur les téléphones des employés, les activités connectées au cloud IBZ sont tout de même enregistrées.

5) Au niveau de la police fédérale, la finalité de l’utilisation de l’application en question est en principe limitée à une communication unilatérale destinée à certains groupes cibles. Au demeurant, la probabilité des risques décrits dans votre question semble inexistante car l’utilisation du navigateur in-app n’est ni recommandée ni nécessaire pour ce type d’application.

Au SPF Intérieur, TikTok n’est actuellement pas utilisé pour la communication officielle. L’équipe de communication possède un compte inactif, qui a été utilisé pour une campagne spécifique.

Il y avait des plans concrets pour utiliser TikTok à nouveau afin de mieux atteindre le groupe cible (les treize-trente-cinq ans), mais cela est en suspens jusqu’à ce que l’application soit plus claire.

En outre, certaines unités de recherche spécifiques au sein de notre organisation utilisent TikTok pour le dépistage des médias sociaux, mais cela se fait séparément du réseau IBZ et avec des profils anonymes et des téléphones spécifiques. L’application n’est pas utilisée comme outil de communication avec des personnes extérieures.

6) & 7) Ces questions parlementaires ne relèvent pas de mes compétences.