Blog | Pradeo

TikTok, un leakware installé sur 2 milliards de mobiles

Rédigé par Roxane Suau | 15 mars 2023 17:37:17

Au cours des quinze derniers jours, la Maison Blanche, l'Union Européenne, le Canada et d'autres pays en Europe ont interdit l'utilisation de l'application mobile TikTok à leurs membres et agences.

TikTok est une application chinoise de partage de vidéos qui a été installée plus de 2 milliards de fois à travers le monde sur Android et iOS. Depuis 2020, elle fait régulièrement parler d’elle du fait qu’elle espionnerait ses utilisateurs.

« Nous ne devons pas être naïfs : TikTok est une entreprise chinoise qui est aujourd’hui obligée de coopérer avec les services de renseignement chinois. C’est la réalité », a déclaré le premier ministre belge, Alexander De Croo.

Cette actualité met l’emphase sur un procédé généralisé qui consiste à tirer profit des applications mobiles pour collecter à outrance les données personnelles des utilisateurs. Mais au-delà de TikTok, ce sont des millions d’applications populaires officielles qui partagent les mêmes pratiques.

 

Un leakware parmi tant d’autres

Les résultats de notre analyse sont sans équivoque, l’application TikTok collecte de nombreuses données personnelles alors que l'obtention de ces informations n’est pas forcément nécessaire à son fonctionnement. Par définition, cela classe TikTok dans la catégorie des Leakware, aussi appelés Greyware. Le terme fait référence aux applications qui recueillent massivement les données de leurs utilisateurs pour les envoyer hors de leurs mobiles. Pour la première fois cette année, Gartner a fait apparaître le concept du Leakware dans son Market Guide for Mobile Threat Defense.

Pourtant, c’est bien depuis le début du modèle applicatif que les applications grises sont un danger pour la confidentialité des informations de leurs utilisateurs, et par extension pour les entreprises ayant des flottes de mobiles. Alors que TikTok défraye la chronique suite à une prise de conscience publique de ses comportements intrusifs, cette alerte illustre la facilité avec laquelle n’importe quelle application mobile peut s’initier dans notre quotidien et tout savoir de nous, en toute discrétion.

 

Quelles données TikTok collecte-t-elle vraiment ?

L’application TikTok collecte les données suivantes et les envoie vers ses serveurs aux Etats unis et à Singapour. Elles sont ensuite consultées par les collaborateurs du groupe ByteDance dans les pays suivants : Brésil, Canada, Chine, Israël, Japon,  Malaisie, Philippines, Singapour, Corée du Sud et États-Unis.

  • Géolocalisation
  • Données d’identification : Nom et prénom, adresses email et physique, numéro de téléphone, tranche d’âge, date de naissance
  • Messages
  • Photos et vidéos
  • Audio
  • Liste de contacts
  • Historique de navigation sur le web
  • Information d’identification de l’appareil

 

Comment se prémunir face aux applications grises ?

La grande popularité de TikTok rend son utilisation très difficile à éviter. Les campagnes d’informations atteignent rapidement leurs limites et ne permettent pas le risque zéro. D’autre part, bannir l’application d’un territoire ne ferait que déplacer le danger en ouvrant la porte aux téléchargements d’applications contrefaites, en d’autres termes des clones qui sont dans la majeure partie des cas injectés de malware.

Pour les particuliers, nous conseillons de toujours considérer avec attention les permissions demandées par toutes les applications installées, et de refuser celles qui paraitraient non nécessaires. Cela vous permettra d’empêcher un grand nombre de collectes de données abusives.

Pour les organisations, seule la mise en place d’une solution de protection de flotte mobile permet de neutraliser les risques liés aux applications de type leakware. Cependant, toutes ne les détectent pas. La solution de Pradeo, de par son moteur spécialisé dans l’analyse des applications mobiles, assure une détection fiable des comportements avérés de toutes les applications, qu’ils soient déclarés ou pas par les entreprises les possédant. Ainsi pas de surprise, si une application collecte une donnée qui est sensible pour l’activité de l‘entreprise (contact, géolocalisation,...), elle sera bloquée automatiquement selon des règles prédéfinies.

La solution de Pradeo est utilisée à travers le monde par des gouvernements et entreprises privées. Pour obtenir une démonstration et un essai gratuit, remplissez ce formulaire.