Analyse technique de la sécurité de l’application mobile «TikTok»
La suspicion de risques potentiels pour la sécurité liés à l’utilisation de l’application «TikTok» créée par l’entreprise chinoise ByteDance a entraîné l’interdiction de cette application sur les appareils utilisés par les autorités dans de nombreux pays. Début 2023, la Commission européenne et le Parlement européen ont décrété l’interdiction de l’application sur les téléphones portables de service des membres de leur personnel. En Suisse, les autorités et les entreprises doivent également se pencher sur la question des risques potentiels liés à l’utilisation de l’application. À l’incitation du Centre national de cybersécurité (NCSC), l’Institut national de test pour la cybersécurité NTC a pris l’initiative de tester l’application «TikTok».
L’Institut national de test pour la cybersécurité NTC teste les produits qui ne seraient pas testés autrement. À l’incitation du Centre national de cybersécurité (NCSC), l’Institut national de test pour la cybersécurité NTC a pris l’initiative de soumettre l’application «TikTok», créée par l’entreprise chinoise ByteDance, à une analyse technique de la sécurité.
L’analyse a été menée dans des conditions de test aussi réalistes que possible, sans mesures de protection particulières. L’accent a été mis sur la protection des données personnelles et sur les risques pour la sécurité. L’objectif consistait à évaluer le risque d’une surveillance et d’un espionnage potentiels lorsque «TikTok» est utilisé sur des appareils Android ou iOS. L’analyse ne portait pas sur la protection contre la manipulation, la censure ou l’influence d’opinions politiques. De même, le cadre budgétaire d’environ 40 jours-personnes ne permettait pas d’analyser en détail des observations techniques à long terme ou des composants logiciels complets.
Les tests menés par le NTC ont révélé que, globalement, le comportement de l’application «TikTok» répond aux attentes d’une application de médias sociaux. Aucune indication d’une surveillance des utilisateurs n’a été décelée. Toutefois, une telle surveillance serait techniquement possible au vu des droits étendus que l’utilisateur de l’application «TikTok» peut octroyer. Dans certaines circonstances, des vulnérabilités peuvent en outre être activées ou apparaître à la suite de mises à jour.
Il convient de relever que des données de localisation sont fréquemment envoyées. Par ailleurs, les messages de chat envoyés via «TikTok» ne sont pas cryptés de bout en bout. En revanche, l’analyse a révélé qu’une partie de la communication avec le serveur backend de TikTok, dont le contenu n’est pas connu, fait l’objet d’un cryptage supplémentaire.
Les utilisateurs devraient donc veiller à ne pas accorder de permissions à l’application «TikTok» ou à restreindre celles-ci systématiquement, à fermer l’application après utilisation, à ne jamais partager de données de contact avec l’application et à utiliser d’autres canaux pour les communications professionnelles.
En résumé, l’Institut national de test pour la cybersécurité NTC recommande de considérer l’utilisation de l’application «TikTok» d’un œil critique, en particulier lorsqu’elle est utilisée sur des appareils utilisés dans un contexte professionnel ou officiel. De manière générale, cette précaution concerne toutes les applications dotées de droits étendus et qui ne présentent qu’un intérêt limité dans un contexte professionnel ou officiel.