|
|
TikTok - Risques pour la sécurité - Vie privée - Piratage - Espionnage - Chine - Chiffres et tendances
médias sociaux
Chine
piratage informatique
protection de la vie privée
espionnage
| 31/1/2023 | Envoi question (Fin du délai de réponse: 2/3/2023) |
| 29/3/2023 | Réponse |
Aussi posée à : question écrite 7-1884
Aussi posée à : question écrite 7-1885
De nouvelles recherches ont révélé que le navigateur intégré à l'application TikTok avait la capacité de surveiller certains types d'activité des utilisateurs sur les sites Web externes auxquels il accède (cf. https://www.cnet.com/tech/services and software/TikToks in app browser can monitor your keystrokes researcher says/).
D'après des recherches publiées récemment par Felix Krause, chercheur en logiciels basé à Vienne, lorsque les utilisateurs de TikTok accèdent à un site Web via un lien dans l'application TikTok, l'application insère un code dans le site Web qui permet à TikTok de surveiller certaines activités comme les frappes au clavier et ce que les utilisateurs tapent sur ce site (cf. https://krausefx.com/blog/announcing inappbrowsercom see what javascript commands get executed in an in app browser).
Cela pourrait permettre à TikTok de capturer des informations personnelles sur les utilisateurs telles que des numéros de carte de crédit et des mots de passe, bien que l'entreprise affirme ne pas le faire. L'application est capable d'insérer le code et de modifier les sites Web pour permettre cette surveillance car les sites sont ouverts dans le navigateur intégré de TikTok, plutôt que dans un navigateur standard comme Chrome ou Safari.
TikTok, qui est la propriété de l'entreprise chinoise d'Internet ByteDance, a déclaré que le rapport de M. Krause était «inexact et trompeur» et que la fonction en question était utilisée pour «le débogage, le dépannage et la surveillance des performances» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok browser tracking.html).
Pour sa part, le Sénat américain a approuvé à l'unanimité l'exclusion de l'appli populaire TikTok des téléphones professionnels des fonctionnaires gouvernementaux américains. Selon l'initiateur du texte de loi, l'appli chinoise est «un cheval de Troie pour le Parti communiste chinois».
Aux États-Unis, la crainte est grande que TikTok et sa société mère ByteDance puissent partager des informations d'utilisateurs américains avec les autorités chinoises. Le directeur du Federal Bureau of Investigation (FBI), Christopher Wray, a déjà mis en garde contre le fait que les entreprises chinoises sont légalement tenues de partager des informations si le gouvernement chinois le requiert.
Des sources proches du dossier ont confié à l'agence de presse Bloomberg que le gouvernement américain avait déjà tenté de conclure avec TikTok un accord qui devait fournir des garanties de sécurité supplémentaires en ce qui concerne le stockage des données des utilisateurs. La conclusion de cet accord a échoué, le ministère de la Justice s'y étant opposé. Reste aussi à savoir dans quelle mesure un tel accord peut effectivement protéger les données des utilisateurs américains contre les abus (cf. https://www.ad.nl/tech/amerikaanse senaat unaniem ambtenaren mogen geen tiktok meer op hun telefoon hebben~a72ffa42/).
En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
J'aimerais dès lors vous poser les questions suivantes :
1) Nos services de sécurité et spécialistes des technologies de l'information vous ont-ils déjà communiqué des éléments indiquant que l'application chinoise TikTok pourrait présenter des risques majeurs pour la sécurité ? Si oui, combien de signalements avez-vous reçus, à quelle période et quelle suite leur a été réservée ? Quelles sont les mesures qui ont été prises ? Dans la négative, pour quelle raison ?
2) Aux États-Unis, des dispositions sont en cours d'élaboration en vue d'interdire l'utilisation de l'application précitée à tous les fonctionnaires. Selon vous, est-il opportun ou non d'envisager des mesures similaires pour nos propres fonctionnaires ? Pouvez-vous expliciter votre réponse ?
3) Seriez-vous éventuellement favorable à une interdiction ou à une restriction de l'utilisation de cette application par les personnes qui travaillent dans des secteurs stratégiquement sensibles, comme le personnel des centrales nucléaires, les fonctionnaires, les personnes chargées du maintien de l'ordre, les militaires, le personnel ferroviaire, le personnel hospitalier, les gestionnaires des réseaux d'électricité et d'eau, etc. ? Pourquoi êtes-vous / n'êtes-vous pas favorable à une telle mesure ? Si vous y êtes favorable, comment encadreriez-vous une telle restriction ? Si pas, quelle en est la raison ?
4) Pouvez-vous préciser s'il existe déjà des directives à l'attention de nos fonctionnaires, responsables politiques, personnes en charge du maintien de l'ordre, etc. en ce qui concerne l'utilisation d'applications connues pour être potentiellement dangereuses ou pour représenter un risque accru en termes de failles de sécurité ? Existe-t-il une liste de telles applications ? Si oui, combien d'applications sont concernées ? Quelles autres mesures sont prises par nos fonctionnaires et autres pour éviter qu'ils soient victimes, à leur insu, de fuites de données par le biais d'applications dont la sécurité ne serait pas garantie ? Une distinction est-elle faite entre les téléphones privés et les téléphones professionnels ?
5) Combien de nos pouvoirs et services publics utilisent l'application précitée dans le cadre de leur communication officielle ? Pourriez-vous en établir la liste ? Quelles garanties les services concernés ont-ils que cela ne les expose pas à un espionnage mené par le Parti communiste chinois (PCC) ?
6) S'il devait s'avérer que TikTok a effectivement collecté de manière illicite des informations relatives à des Belges, comment pourriez-vous veiller à ce qu'elles soient supprimées par TikTok ? Quelle est notre capacité d'action à cet égard ?
7) Pourriez-vous, si possible, répertorier combien de fois la Belgique a déjà déposé plainte contre TikTok ou ByteDance pour des atteintes au respect de la vie privée ? Pourriez-vous ventiler ce chiffre par année, en précisant le résultat de la plainte ?
1) Après une analyse menée par le Service général du renseignement et de sécurité (SGRS), un avis négatif a été donné à propos de l’outil SOME TikTok. Il porte sur deux aspects, notamment la sécurité et la vie privée.
Récemment, la Défense a pleinement mis en œuvre les décisions du Conseil national de sécurité concernant TikTok dans une directive de défense. La Défense interdit l’utilisation de TikTok sur les appareils de service fixes et mobiles, et exige la suppression de toutes les applications TikTok existantes sur ces appareils d’ici le 31 mars 2023 au plus tard. En outre, la Défense déconseille d’installer l’application TikTok sur des appareils personnels ayant accès aux réseaux et systèmes internes du gouvernement fédéral, et de la supprimer si elle est déjà installée.
Les décisions du Conseil national de sécurité sont évidemment appliquées intégralement au sein de ma cellule stratégique.
Les unités qui souhaitent travailler avec TikTok à des fins de communication officielle doivent faire une demande clairement justifiée à la direction générale Communication stratégique (DG StratCom). Une condition stricte est que TikTok ne soit utilisé que sur un appareil dédié et où il n’y a absolument aucun compte de la Défense; ce qui permet, avec toutes les précautions d’usage, de pouvoir informer, ainsi que de développer une communication ou encore une stratégie d’influence moderne qui touche une grande catégorie de citoyens belges. On parle de 4,2 millions d’utilisateurs belges de l’application, dont certains ne l’utilisent d’ailleurs que comme seul moyen d’information.
2) L’absence d’authentification à deux facteurs constitue un risque important pour la sécurité. TikTok offre la possibilité de se connecter avec un code d’authentification envoyé sur votre téléphone, mais il s’agit d’un code d’accès à usage unique. Combiné à un mot de passe faible, cela peut facilement conduire à des attaques de «phishing» ou de «ransomware».
L’application TikTok utilise par ailleurs le «Hypertext Transfer Protocol» (HTTP) non sécurisé pour télécharger du contenu et pour transférer les vidéos et autres données multimédia. Si cette méthode améliore les performances de transfert des données, elle compromet la confidentialité des utilisateurs. Le trafic HTTP peut être facilement suivi et même modifié par des parties malveillantes.
En outre, la loi chinoise sur la cyber sécurité et les lois connexes permettent au gouvernement chinois, et donc aux forces armées et aux agences de renseignement chinoises, d’accéder aux données disponibles sur ou transmises par des serveurs situés en Chine. Ceci sans avoir besoin d’en informer les utilisateurs, ni en Chine, ni à l’étranger. Les données TikTok sur les serveurs chinois sont soumises à cette obligation légale.
3) L’application TikTok fait partie des applications qui seront désormais interdites sur les appareils de service fixes ou mobiles. Comme évoqué plus haut, l’état-major tolère son utilisation sur des appareils dédiés ne disposant pas d’applications ou stockage de données liés à la Défense.
4) Il est évident que dans un département comme la Défense, des directives sont distribuées au personnel concernant la sécurité, entre autres, des appareils mobiles qu’ils utilisent dans leur environnement professionnel. Sur base de l’analyse effectuée par le SGRS, il existe ainsi une liste d’applications interdites, déconseillées et recommandées sur les appareils mobiles de la Défense.
5) Le SGRS ne dispose pas de ces chiffres.
6) La Défense ne dispose pas de cette information. Les infractions à la «General Data Protection Regulation» (GDPR) sont traitées par l’autorité belge de protection des données (DPA).
Toutefois, je veux souligner le fait qu’au-delà de la question de la sécurité des données qui est évidemment importante, le véritable enjeu lié à TikTok reste le respect de la vie privée et de notre législation en matière de protection des données. En ce sens, il conviendrait de demander à TikTok l’application de la loi sur la protection des données afin de protéger les plus de 150 millions d’utilisateurs actifs mensuels en Europe. Cet enjeu de protection de nos données personnelles doit être défendu ainsi que l’application de la législation européenne en la matière, avec de vraies garanties en termes d’hébergement et d’intégrité des données.