Analyse tech­nique de la sécu­rité de l’application mobile « TikTok » du 18 avril 2023

Cadre de l’analyse

L’Institut natio­nal de test pour la cyber­sé­cu­rité (NTC) est un nouvel insti­tut indé­pen­dant actif en Suisse qui se charge de tester la sécu­rité des produits TIC, sur inci­ta­tion ou de sa propre initiative.

Il prend l’initiative, après inci­ta­tion par le Centre natio­nal pour la cyber­sé­cu­rité (NCSC), de tester l’application TikTok pour appor­ter un élément de réponse aux ques­tion­ne­ments, sur terri­toire helvé­tique, rela­tifs à l’utilisation de l’application par des employés d’entreprises ou de l’administration. La Commission euro­péenne et le Parlement euro­péen ont décrété début 2023 l’interdiction de l’application sur les appa­reils profes­sion­nels de leur person­nel et la Suisse se pose les mêmes questions.

Le NTC publie son analyse à la suite d’une inves­ti­ga­tion menée par plusieurs experts utili­sant l’application dans des condi­tions réalistes entre le 23 février et le 24 mars 2023. L’étendue de l’investigation, déci­dée par le NTC, comprend les commu­ni­ca­tions entre l’application et le back-end de ByteDance (la société mère de TikTok) ainsi que les auto­ri­sa­tions requises par l’application et l’accès à la caméra, au micro­phone ou encore au GPS des télé­phones. Elle ne porte en revanche pas sur le site web de TikTok ou d’autres plate­formes, les proces­sus et algo­rithmes de modé­ra­tion et de censure ou encore les facteurs d’influence psycho­lo­giques de l’application. L’exhaustivité de l’analyse tech­nique est par ailleurs limi­tée par le temps consa­cré à effec­tuer les investigations.

Le NTC soulève trois risques prio­ri­taires dans son analyse, ainsi que des risques moyens et faibles.

Risques prio­ri­taires

Les risques prio­ri­taires sont consi­dé­rés comme tels dans la mesure où ils sont suscep­tibles d’affecter tous les utili­sa­teurs de l’application et parce que les vulné­ra­bi­li­tés sont faci­le­ment exploitables.

Le premier risque prio­ri­taire concerne la trans­mis­sion de valeurs de hachage de contacts à ByteDance. Lorsque des utili­sa­teurs de TikTok auto­risent l’application à accé­der à leurs contacts, celle-ci trans­met direc­te­ment à ByteDance les valeurs de hachage des numé­ros de contacts issus du carnet d’adresses des utili­sa­teurs. Bien que les infor­ma­tions ne soient pas en texte clair, le NTC suppose que ByteDance peut les recons­ti­tuer à partir des valeurs de hachage. ByteDance peut ensuite les attri­buer clai­re­ment à une personne, proces­sus effec­tué sans le consen­te­ment ou l’information des personnes concernées.

Le second risque prio­ri­taire porte sur le manque de chif­fre­ment des messages directs ou privés, qui ne sont pas proté­gés par un chif­fre­ment de bout en bout. Partant, ByteDance, l’opérateur de l’infrastructure (Akamai Technologies) et d’autres acteurs sont suscep­tibles de lire et de modi­fier le contenu des messages.

Le dernier risque prio­ri­taire vise l’utilisation des services de loca­li­sa­tion au lance­ment de l’application. TikTok trans­met à Bytedance des infor­ma­tions de géolo­ca­li­sa­tion (en partie chif­frées) concer­nant des utili­sa­teurs sur iOS lors de chaque démar­rage de l’application, à condi­tion que l’utilisateur auto­rise TikTok à accé­der à la loca­li­sa­tion durant l’utilisation de l’application. Ces trans­ferts ne semblent pas être néces­saires pour le fonc­tion­ne­ment de l’application et ces infor­ma­tions peuvent servir à créer un profil rela­tif aux mouve­ments d’un utili­sa­teur de TikTok.

Risques moyens

Les risques de prio­rité moyenne impliquent que de nombreux utili­sa­teurs de l’application peuvent être concer­nés et que les vulné­ra­bi­li­tés décou­vertes sont moins faci­le­ment exploi­tables que pour les risques prioritaires.

Il en va d’une part de la collecte, par TikTok, d’informations sur l’environnement du télé­phone ainsi que de leur trans­mis­sion sur le back-end de Bytedance, ce qui permet à l’application de se compor­ter diffé­rem­ment en fonc­tion de l’environnement. D’autre part, la non-utili­sa­tion de méthodes d’authentification multi­fac­to­rielle est problé­ma­tique, car il est possible, en cas de compro­mis­sion de l’unique facteur d’authentification, de prendre le contrôle du compte.

Risques faibles

Le NTC soulève des risques de prio­rité faible, car leur exploi­ta­tion n’est pas suscep­tible de causer des dommages directs. Leur exploi­ta­tion permet simple­ment aux poten­tiels atta­quants de gagner un avantage.

Premièrement, TikTok envoie du contenu au back-end ByteDance avec l’utilisation d’en-têtes HTTP non stan­dar­di­sés et partiel­le­ment chif­frés sans savoir ce qui est trans­mis en clair ou non. Malgré l’impossibilité d’examiner les données trans­mises dans les en-têtes en raison des délais impar­tis pour l’enquête, le NTC explique qu’il serait en tout cas possible de trans­mettre discrè­te­ment à ByteDance toutes les données auxquelles l’application a accès, à l’instar d’une liste des appli­ca­tions instal­lées sur un système d’exploitation.

Deuxièmement, lorsque TikTok est ouvert, l’application véri­fie si certaines appli­ca­tions sont instal­lées sur les smart­phones, ce qui peut révé­ler des infor­ma­tions sur les utili­sa­teurs. Cependant, le NTC ne sait pas si ces infor­ma­tions sont trans­mises à ByteDance et consi­dère que le risque est faible.

Troisièmement, l’application TikTok envoie toutes les heures des requêtes HTTP à ByteDance lorsqu’elle fonc­tionne en arrière-plan, ce qui permet à cette dernière (ainsi qu’à Akamai Technologies) de dispo­ser sur la base de l’adresse IP de la loca­li­sa­tion impré­cise d’un smart­phone. Cette infor­ma­tion peut être utili­sée conjoin­te­ment à d’autres infor­ma­tions pour créer un profil lié aux mouve­ments d’un utilisateur.

Quatrièmement, l’application contient un navi­ga­teur inté­gré sur Android, ce qui permet à TikTok de surveiller et de mani­pu­ler les entrées et le contenu des utili­sa­teurs dans ce navi­ga­teur. Le navi­ga­teur n’étant utilisé que dans des scéna­rios limi­tés, le risque est consi­déré comme faible par le NTC.

Recommandations

Le NTC recom­mande une étude plus appro­fon­die pour les infor­ma­tions sur l’environnement des télé­phones collec­tées par TikTok, pour les infor­ma­tions chif­frées trans­mises par des en-têtes HTTP à ByteDance ou encore pour le contrôle des autres appli­ca­tions ouvertes.

En paral­lèle, le NTC recom­mande aux utili­sa­teurs de prendre des précau­tions avec TikTok en utili­sant le service de messa­ge­rie directe unique­ment pour du contenu non sensible, en refu­sant l’accès de l’application aux contacts et aux données de loca­li­sa­tion (quitte à les auto­ri­ser manuel­le­ment pour publier du contenu), en fermant complè­te­ment l’application hors utili­sa­tion et en privi­lé­giant un navi­ga­teur externe.

Conclusion

Au vu des recom­man­da­tions émises par le NTC, l’on peut se deman­der quels sont son statut et son mandat. Initialement, la cybers­tra­té­gie natio­nale 2023 perce­vait la créa­tion du NTC comme un complé­ment aux capa­ci­tés du Cyber-Defence Campus (CYD Campus) pour mener des évalua­tions indé­pen­dantes rela­tifs aux risques de sécu­rité inhé­rents aux produits et services infor­ma­tiques. Le NTC annonce sur son site web iden­ti­fier et tester les vulné­ra­bi­li­tés de tels produits pour mettre ses résul­tats à dispo­si­tion de la popu­la­tion, des pouvoirs publics et des acteurs économiques.

Bien que la créa­tion du NTC réserve de nombreuses promesses, tant son mandat que son statut ou son rôle devront être préci­sés. L’analyse de l’application TikTok soulève des ques­tions quant à l’expertise tech­nique, stra­té­gique, juri­dique ou éduca­tive du NTC, avec certaines formu­la­tions suscep­tibles d’être hasar­deuses, par exemple lors­qu’il est fait mention du niveau de sensi­bi­lité de certaines données person­nelles. En outre, ses rela­tions avec des auto­ri­tés comme le NCSC ou les ques­tions en lien avec les résul­tats four­nis à diffé­rents desti­na­taires devraient être clari­fiées. Le NTC semble prin­ci­pa­le­ment s’adres­ser aux utili­sa­teurs de l’ap­pli­ca­tion, sous réserve d’une recom­man­da­tion, sans desti­na­taire iden­ti­fiable, visant à réali­ser une étude appro­fon­die de TikTok.

Compte tenu de ces obser­va­tions, l’expertise du NTC est la bien­ve­nue, mais son mandat et son domaine d’expertise doivent être préci­sés, de même que ses rela­tions, notam­ment avec l’administration fédérale.

Alors qu’en Suisse l’administration fédé­rale n’a pas inter­dit l’utilisation de l’application à ses colla­bo­ra­teurs, TikTok tente de se confor­mer à certaines obli­ga­tions en vertu du Règlement sur les services numé­riques (cf. www​.swiss​pri​vacy​.law/​1​84/). Cependant, des mesures plus radi­cales d’autres États conti­nuent à être prises (à raison peut-être?), notam­ment en ce qu’il en va de l’utilisation de celle-ci par les employés admi­nis­tra­tifs en raison de la rela­tion entre TikTok et sa société mère chinoise ByteDance.