Plusieurs enquêtes menées par des experts en cybersécurité ont révélé que TikTok exfiltrerait en masse des données personnelles, parmi lesquelles on retrouverait l’historique de navigation et d’appels des utilisateurs, leurs contacts, leurs messages, leurs coordonnées GPS ou encore les informations de connexion aux réseaux WiFi. Si ces données seraient essentiellement collectées « in-app », d’autres seraient loggées en dehors de l’application, comme les sites web visités depuis le navigateur interne de TikTok ainsi que les mots clés saisis sur ces pages.
Toutes ces données, collectées à l’insu des utilisateurs et sans leur consentement immédiat, transiteraient ensuite sur les serveurs du réseau social chinois, aux Etats-Unis et à Singapour, rendues accessibles aux collaborateurs de ByteDance. Notons que ce transfert de données, bien qu’il soit difficile à vérifier dans un espace digital toujours plus vaste, est illégal, puisqu’il va à l’encontre du droit européen en matière de gestion des données personnelles (RGPD).
Qualifiée de “Leakware” par la société Pradeo, TikTok utiliserait également l’intelligence artificielle pour collecter des données supplémentaires à partir de vidéos et d’autres contenus que les utilisateurs téléchargent sur la plateforme, y compris des données biométriques telles que les visages, les empreintes vocales et les expressions faciales. Cette information a d’ailleurs été confirmée par TikTok lui-même, dès l’été 2021, à travers un changement de sa politique de confidentialité pour le marché américain, afin d’éviter une interdiction pure et simple de son service sur le territoire.
L’utilisation de TikTok par des collaborateurs, dans un cadre professionnel, expose les entreprises et les organisations à un certain nombres de risques plus ou moins graves, allant du vol de données plus ou moins sensibles, au traçage des employés ou à l’espionnage industriel…
Les données collectées par l’application peuvent inclure des informations sensibles sur l’entreprise, telles que des éléments de connexion (login et mots de passes), mais également des informations financières, des plans d’actions stratégiques ou encore des données liées à la propriété intellectuelle ou aux clients de l’organisation… Autant de sources d’information qui pourraient faire l’objet d’une exploitation frauduleuse de la part de hackeurs ou de spécialistes en intelligence économique, qu’ils soient privés ou d’état, principalement chinois.
L’utilisation de TikTok sur des appareils professionnels peut également constituer une porte d’entrée pour les attaques par phishing ou par ransomware. Les cyberattaquants peuvent en effet collecter et recouper des données personnelles issues des comptes TikTok de certains employés afin de développer des stratégies d’ingénierie sociale sophistiquées, leur permettant de créer des attaques de phishing plus ciblées et donc sensiblement plus efficaces, ce qui augmente considérablement les risques de vol de données et de demandes de rançons associées. Parmi les vecteurs préférés des escrocs en ligne, on retrouve les arnaques aux cryptomonnaies, les faux profils de célébrités ou le téléchargement “gratuit” d’applications tierces (embarquant des logiciels malveillants de toutes sortes : virus, spyware, adware ou trojan…).
Dernier exemple de risques inhérents à l’utilisation de cette application en environnement professionnel : la possibilité d’un traçage des collaborateurs par l’exploitation de leurs données de géolocalisation mobiles. Il serait dès lors relativement aisé pour un analyste lambda d’interpréter économiquement les déplacements répétés d’un chef d’entreprise chez un prospect grand compte stratégique, en pleine phase d’appel d’offres…
Comme nous l’avons vu, les risques cyber associés à son utilisation sont réels, mais c’est surtout la proximité de la maison mère ByteDance avec les autorités chinoises qui a provoqué, depuis le début de l’année, une vague de restrictions de l’application à l’initiative de nombreux gouvernements, en occident mais pas seulement.
Au sein de l’Union Européenne, on peut notamment citer le bannissement de TikTok sur les appareils professionnels des fonctionnaires belges, danois et norvégiens, des députés tchèques, des militaires suédois ou des ministres du Royaume-Uni, avec comme argument récurrent des préoccupations liées à la sécurité nationale. En France, c’est le ministre délégué chargé de la transition numérique et des télécommunications, Jean-Noël Barrot, qui affirme fin mars 2023 que “les applications récréatives comme TikTok sont désormais interdites, avec effet immédiat, sur tous les téléphones que l’État fournit aux agents publics.”, mettant également en avant “la cybersécurité de nos administrations et de nos services publics”.
Ailleurs dans le monde, l’application est déjà bannie depuis début 2023 pour les fonctionnaires au Canada et les agents fédéraux aux Etats-Unis. Pionnière en la matière, l’Inde a interdit TikTok dans tout le pays, dès l’été 2020, pour raisons diplomatiques, provoquant une vague de protestation de la jeunesse indienne auprès de qui l’application était largement populaire. Une application remplacée depuis par des initiatives locales…
Il faut distinguer deux types d’usage à risque : l’utilisation de l’application sur un équipement personnel, mais qui servirait également à des usages professionnels, d’une part, et l’utilisation de l’application sur un équipement professionnel, d’autre part. Si dans le premier cas, l’employeur n’a d’autre possibilité que d’interdire au salarié d’utiliser son téléphone personnel à des fins professionnels, dans le second cas, il dispose d’une certaine latitude pour empêcher le salarié d’utiliser son équipement professionnel à des fins personnelles ou, tout au moins, en modérer l’usage.
Voici 5 mesures de protection que les entreprises et les organisations doivent considérer, au cas par cas, afin de réduire les risques liés à l’utilisation de TikTok sur les équipements professionnels :
Bien qu’il soit sous les feux des projecteurs depuis plusieurs mois, TikTok n’est pas le seul réseau social dont l’usage présente des risques cyber connus. Au niveau du recours à des trackers (par lesquels transitent certaines informations personnelles sensibles des utilisateurs), d’autres grandes entreprises de la tech, comme Microsoft, Google ou Meta, ne sont pas en reste. Les porte-parole de la société ByteDance et certains dignitaires chinois ne manquent d’ailleurs pas de dénoncer une campagne de dénigrement ciblé de la part des occidentaux, USA en tête, visant à favoriser les sociétés américaines.
Afin de garantir la sécurité des données sensibles de l’entreprise et prévenir les incidents, il est crucial de mettre en place des mesures de sécurité robustes. Cela implique d’établir des politiques claires, qui peuvent aller jusqu’à l’interdiction pure et simple de l’accès à TikTok sur les terminaux mobiles professionnels. Aucune mesure coercitive et aucun outil, aussi performant soit-il, ne pouvant écarter le facteur humain, il est essentiel de sensibiliser les collaborateurs aux risques encourus. Des formations régulières sur les bonnes pratiques en cybersécurité, permettant notamment l’identification des attaques de phishing et la protection des données sensibles, sont également essentielles.
Centre de formation, Sysdream, forme et sensibilise chaque année plus de 1600 professionnels aux risques cyber. Nos intervenants salariés sont tous des experts dans le domaine de la sécurité, ils partagent leur activité entre la formation, le pentest et la recherche. Consultez notre catalogue de formation : “Catalogue de formations en sécurité informatique“
Responsable marketing produits groupe
Daniel a rejoint Hub One en septembre 2022, en tant que responsable marketing produits groupe, après plusieurs années d’expérience commerciale, marketing et produit dans la tech. Amateur de crossfit, de tir sportif et de randonnée en forêt (jamais sans son chien !), il apprécie également de se détendre en compagnie d’un bon bouquin, FIP en fond sonore. Polar, développement personnel, métaphysique ou coaching sportif sont autant de sujets d’intérêt et d’occasions d’ouvrir plusieurs livres en parallèle (pas toujours terminés…). Son gadget technologique préféré ? La montre Garmin FR 955 pour ses indicateurs de performance et ses cartes GPS embarquées.