|
|
TikTok - Risques pour la sécurité - Vie privée - Piratage - Espionnage - Chine - Chiffres et tendances
médias sociaux
Chine
espionnage
protection de la vie privée
piratage informatique
| 31/1/2023 | Envoi question (Fin du délai de réponse: 2/3/2023) |
| 2/3/2023 | Réponse |
Aussi posée à : question écrite 7-1883
Aussi posée à : question écrite 7-1884
De nouvelles recherches ont révélé que le navigateur intégré à l'application TikTok avait la capacité de surveiller certains types d'activité des utilisateurs sur les sites Web externes auxquels il accède (cf. https://www.cnet.com/tech/services and software/TikToks in app browser can monitor your keystrokes researcher says/).
D'après des recherches publiées récemment par Felix Krause, chercheur en logiciels basé à Vienne, lorsque les utilisateurs de TikTok accèdent à un site Web via un lien dans l'application TikTok, l'application insère un code dans le site Web qui permet à TikTok de surveiller certaines activités comme les frappes au clavier et ce que les utilisateurs tapent sur ce site (cf. https://krausefx.com/blog/announcing inappbrowsercom see what javascript commands get executed in an in app browser).
Cela pourrait permettre à TikTok de capturer des informations personnelles sur les utilisateurs telles que des numéros de carte de crédit et des mots de passe, bien que l'entreprise affirme ne pas le faire. L'application est capable d'insérer le code et de modifier les sites Web pour permettre cette surveillance car les sites sont ouverts dans le navigateur intégré de TikTok, plutôt que dans un navigateur standard comme Chrome ou Safari.
TikTok, qui est la propriété de l'entreprise chinoise d'Internet ByteDance, a déclaré que le rapport de M. Krause était «inexact et trompeur» et que la fonction en question était utilisée pour «le débogage, le dépannage et la surveillance des performances» (cf. https://www.nytimes.com/2022/08/19/technology/TikTok browser tracking.html).
Pour sa part, le Sénat américain a approuvé à l'unanimité l'exclusion de l'appli populaire TikTok des téléphones professionnels des fonctionnaires gouvernementaux américains. Selon l'initiateur du texte de loi, l'appli chinoise est «un cheval de Troie pour le Parti communiste chinois».
Aux États-Unis, la crainte est grande que TikTok et sa société mère ByteDance puissent partager des informations d'utilisateurs américains avec les autorités chinoises. Le directeur du Federal Bureau of Investigation (FBI), Christopher Wray, a déjà mis en garde contre le fait que les entreprises chinoises sont légalement tenues de partager des informations si le gouvernement chinois le requiert.
Des sources proches du dossier ont confié à l'agence de presse Bloomberg que le gouvernement américain avait déjà tenté de conclure avec TikTok un accord qui devait fournir des garanties de sécurité supplémentaires en ce qui concerne le stockage des données des utilisateurs. La conclusion de cet accord a échoué, le ministère de la Justice s'y étant opposé. Reste aussi à savoir dans quelle mesure un tel accord peut effectivement protéger les données des utilisateurs américains contre les abus (cf. https://www.ad.nl/tech/amerikaanse senaat unaniem ambtenaren mogen geen tiktok meer op hun telefoon hebben~a72ffa42/).
En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui devront être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Il s'agit donc d'une matière transversale qui relève également des Régions, le rôle de ces dernières se situant surtout dans le domaine de la prévention.
J'aimerais dès lors vous poser les questions suivantes :
1) Nos services de sécurité et spécialistes des technologies de l'information vous ont-ils déjà communiqué des éléments indiquant que l'application chinoise TikTok pourrait présenter des risques majeurs pour la sécurité ? Si oui, combien de signalements avez-vous reçus, à quelle période et quelle suite leur a été réservée ? Quelles sont les mesures qui ont été prises ? Dans la négative, pour quelle raison ?
2) Aux États-Unis, des dispositions sont en cours d'élaboration en vue d'interdire l'utilisation de l'application précitée à tous les fonctionnaires. Selon vous, est-il opportun ou non d'envisager des mesures similaires pour nos propres fonctionnaires ? Pouvez-vous expliciter votre réponse ?
3) Seriez-vous éventuellement favorable à une interdiction ou à une restriction de l'utilisation de cette application par les personnes qui travaillent dans des secteurs stratégiquement sensibles, comme le personnel des centrales nucléaires, les fonctionnaires, les personnes chargées du maintien de l'ordre, les militaires, le personnel ferroviaire, le personnel hospitalier, les gestionnaires des réseaux d'électricité et d'eau, etc. ? Pourquoi êtes-vous / n'êtes-vous pas favorable à une telle mesure ? Si vous y êtes favorable, comment encadreriez-vous une telle restriction ? Si pas, quelle en est la raison ?
4) Pouvez-vous préciser s'il existe déjà des directives à l'attention de nos fonctionnaires, responsables politiques, personnes en charge du maintien de l'ordre, etc. en ce qui concerne l'utilisation d'applications connues pour être potentiellement dangereuses ou pour représenter un risque accru en termes de failles de sécurité ? Existe-t-il une liste de telles applications ? Si oui, combien d'applications sont concernées ? Quelles autres mesures sont prises par nos fonctionnaires et autres pour éviter qu'ils soient victimes, à leur insu, de fuites de données par le biais d'applications dont la sécurité ne serait pas garantie ? Une distinction est-elle faite entre les téléphones privés et les téléphones professionnels ?
5) Combien de nos pouvoirs et services publics utilisent l'application précitée dans le cadre de leur communication officielle ? Pourriez-vous en établir la liste ? Quelles garanties les services concernés ont-ils que cela ne les expose pas à un espionnage mené par le Parti communiste chinois (PCC) ?
6) S'il devait s'avérer que TikTok a effectivement collecté de manière illicite des informations relatives à des Belges, comment pourriez-vous veiller à ce qu'elles soient supprimées par TikTok ? Quelle est notre capacité d'action à cet égard ?
7) Pourriez-vous, si possible, répertorier combien de fois la Belgique a déjà déposé plainte contre TikTok ou ByteDance pour des atteintes au respect de la vie privée ? Pourriez-vous ventiler ce chiffre par année, en précisant le résultat de la plainte ?
1) Au regard des craintes exprimées par plusieurs pays et institutions internationales à l’égard de l’application chinoise TikTok, j’ai demandé au Center for Cybersecurity Belgium (CCB) de me communiquer rapidement un rapport de l’état de la situation.
Ce document sera par la suite soumis au Conseil national de sécurité. Pour rappel, la cybersécurité dépend directement du premier ministre Alexander De Croo.
2) & 3) Le rapport que j’ai demandé au CCB a une portée générale mais se concentre plus particulièrement sur les fonctionnaires qui traitent des données sensibles.
En outre, il convient de noter que chaque administration est bien sûr responsable de l’évaluation des risques liés à la vie privée et à la sécurité et en particulier en ce qui concerne les produits et services TIC (technologies de l’information et de la communication) qu’elle utilise ou met à disposition.
4) Je n’ai pas connaissance de directives générales destinées aux fonctionnaires, aux hommes politiques, aux agents des forces de l’ordre et autres, concernant l’utilisation d’applications connues pour être plus susceptibles de présenter des failles de sécurité.
Toutefois, le CCB fournit des conseils généraux sur l’utilisation sécurisée des applications. Ce conseil général, qui était également le thème de la dernière campagne de Safeonweb, est le suivant:
– n’utilisez que des applications et des programmes sécurisés. N’installez que des applications provenant d’un magasin d’applications de confiance ou d’un vendeur officiel. N’installez jamais une application provenant d’une source inconnue;
– limitez l’accès aux applications au strict nécessaire;
– supprimez les applications que vous n’utilisez pas et vérifiez régulièrement les données utilisées par vos applications pour détecter tout trafic inapproprié.
Plus de conseils pour une utilisation sûre des appareils mobiles: https://www.safeonweb.be/fr/securisez-vos-appareils-mobiles.
5) Je ne dispose pas des données nécessaires pour fournir une telle liste. Pour ma part, je n’ai jamais téléchargé sur mon téléphone l’application TikTok.
6) L’Autorité de protection des données comme régulateur peut faire respecter le règlement général sur la protection des données (RGPD) et la loi vie privée. Toutefois, dans le cas particulier de TikTok / ByteDance, il convient d’attirer l’attention sur le fait que c’est l’Autorité irlandaise de protection des données qui agit en tant qu’autorité de contrôle principale, compte tenu du mécanisme de guichet unique prévu par le RGPD. Une enquête est actuellement en cours par l’Autorité irlandaise de protection des données concernant TikTok. L’APD suit de près cette enquête.
7) À l’exception de l’assistance de l’Autorité de protection des données dans certains dossiers concernant des demandes de personnes concernées (principalement liées à la suppression de données personnelles), l’Autorité de protection des données n’a pas déposé de plainte contre TikTok ou ByteDance concernant des violations de la vie privée.
Depuis décembre 2020, TikTok ayant son siège en Irlande, le mécanisme de guichet unique introduit par le RGPD s’applique désormais. L’Autorité irlandaise de protection des données fait donc office d’autorité de contrôle principale.
L’autorité irlandaise a annoncé l’ouverture de deux enquêtes sur TikTok en septembre 2021, portant sur la conformité aux exigences du RGPD concernant le traitement des données des enfants et les transferts de données vers la Chine. L’APD belge suit de près l’évolution de ces affaires relatives au traitement des données par TikTok. Elle a toujours plaidé pour une approche européenne coordonnée à l’égard de TikTok et estime que le mécanisme de guichet unique reste crucial pour une application harmonisée du RGPD.