tiktok navigateur espion clavier

TikTok : le navigateur web de l’appli espionne votre clavier

Le chercheur en cybersécurité Felix Krause a découvert que le navigateur web de l’appli TikTok espionne votre clavier. Toutes les touches pressées sont enregistrées, y compris lorsque vous tapez des messages ou que vous entrez un mot de passe…

Le réseau social TikTok bat tous les records de popularité. Toutefois, c’est aussi l’une des applications mobiles qui collectent le plus de données sur ses utilisateurs.

À plusieurs reprises, des enquêtes ont démontré que TikTok collecte sournoisement des données personnelles. Par le passé, les employés TikTok ont été accusés de savoir que les données des usagers américains étaient collectées par le gouvernement chinois. Plus récemment, des documents internes ont fait surface et révélé que la firme a tout mis en oeuvre pour que le grand public ignore qu’elle fournit des données à Pékin.

À présent, le chercheur en sécurité Felix Krause a découvert que le navigateur web intégré à l’appli peut surveiller les touches que l’utilisateur presse sur son clavier…

Une fonction de Keylogging cachée dans le code de TikTok

Le chercheur s’est aperçu qu’une partie du code de TikTok permet de capturer toutes les pressions sur le clavier ou les écrans tactiles. Cette pratique est appelée Keylogging, et représente une grave atteinte à la confidentialité. C’est d’autant plus problématique que TikTok ne laisse pas l’option d’ouvrir les liens sur le navigateur par défaut de l’appareil.

Sur iOS, le chercheur explique que TikTok a la capacité de modifier les pages et d’utiliser du code JavaScript pour collecter les métadonnées. Rien de grave jusque-là, ces métadonnées ne permettent pas de mesurer l’activité de l’utilisateur.

Toutefois, à l’aide d’un outil qu’il a développé, Krause a pu repérer du code JavaScript supplémentaire permettant d’enregistrer tous les clics et les entrées de texte.

Chaque fois qu’un utilisateur clique sur un lien depuis l’application, le code de keylogging a donc la capacité d’enregistrer les mots de passe ou même les informations de carte de crédit. Il peut également suivre les liens sur lesquels vous cliquez, les messages que vous envoyez et toute votre activité depuis le navigateur intégré à l’application.

Pour prouver ses accusations, Krause a partagé l’extrait de code lié au keylogging. Toutes les fonctions « keypress » et « keydown » servent à suivre les pressions de touches.

Les événements « Unload » font quant à eux référence à la navigation d’une page web à l’autre. L’application peut donc savoir à quel moment l’utilisateur quitte une page.

TikTok nie en bloc et rejette la faute sur un tiers

Suite à ces révélations, TikTok s’est exprimé. Selon la firme, le code de keylogging est bel et bien préchargé dans l’application, mais n’est utilisé que pour le débogage, le dépannage, et la mesure des performances.

Ce code JavaScript fait partie du kit de développement, et TikTok affirme que ce SDK est fourni par un tiers qui ne fait pas partie des capacités de traçage d’utilisateur de l’entreprise.

Elle souligne par ailleurs que Krause précise lui-même que ce code n’indique pas nécessairement une activité malveillante de l’application. De plus, le chercheur admet n’avoir aucun moyen de savoir quel type de données est collecté par le navigateur in-app. Ainsi, contrairement aux affirmations du rapport, TikTok assure ne pas collecter les touches de clavier et les entrées de texte.

Plusieurs spécialistes restent toutefois dubitatifs face à ces justifications. C’est le cas du professeur Ari Lightman de la Carnegie Mellon University. Selon lui, même si les composants d’expérience utilisateur et de sécurité peuvent expliquer l’existence de ce code, il ne faut pas oublier que les réseaux sociaux réalisent la majeure partie de leurs profits via la publicité.

Et les données d’utilisateur y sont essentielles. Ainsi, TikTok monétise les informations en dressant le profil et la personnalité de ses utilisateurs, en identifiant leurs besoins et leurs désirs. Ce spécialiste peine aussi à croire l’argument selon lequel le SDK serait négligemment laissé dans l’application…

De TikTok à Meta : le code JavaScript de la discorde

Sur son blog, Krause révèle que de multiples applications modifient les pages en utilisant JavaScript à la manière de TikTok. Même si son enquête ne permet pas de savoir si les entreprises utilisent ce code JavaScript pour pister leurs usagers, il estime que son existence vient s’ajouter à la longue liste de polémiques liées aux abus de Big Data.

Auparavant, ce chercheur a déjà écrit sur du code JavaScript au sein d’applications comme Instagram et Facebook permettant de pister toute l’activité des utilisateurs lorsqu’ils surfent sur le web via le navigateur natif.

Ce code peut surveiller toutes les interactions, les sélections de texte et les clics. Dans ce nouveau rapport, Krause révèle aussi qu’Instagram pour iOS capture toutes les pressions de boutons et les liens ouverts depuis l’appli. Elle peut même savoir si vous sélectionnez un champ de texte sur un site web tiers, du moment que vous l’ouvrez depuis le réseau social.

Cerise sur le gâteau : Krause écrit que ces applications ont la capacité de dissimuler leur code JavaScript en utilisant des outils iOS populaires comme le code WKContentWorld. Ceci permet d’éviter que les sites web interfèrent avec le code. Les entreprises peuvent donc cacher leur activité très facilement aux sites web et aux outils des chercheurs, si telle est leur volonté…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest