TikTok a contourné une protection de la confidentialité dans le système d'exploitation Android de Google pour collecter des identifiants uniques sur des millions d'appareils mobiles, des données qui permettent à l'application de suivre les utilisateurs en ligne sans leur permettre de se désinscrire, a révélé le Wall Street Journal. La tactique, qui, selon les experts en sécurité des téléphones mobiles, était dissimulée par une couche de cryptage supplémentaire inhabituelle, semble avoir enfreint les politiques de Google limitant la façon dont les applications suivent les personnes sans que les utilisateurs de TikTok soient avertis. Toutefois TikTok a mis fin à cette pratique en novembre, selon le Journal. Les résultats surviennent à un moment où la société mère de TikTok basée à Pékin, ByteDance, est sous la pression de la Maison-Blanche en raison de suspicion de vols de données pour aider le gouvernement chinois. TikTok a déclaré qu'il ne partageait pas de données avec le gouvernement chinois et ne le ferait pas si on lui demandait. Les identifiants collectés par TikTok, appelés adresses MAC, sont souvent utilisés à des fins publicitaires. TikTok, a déclaré plus tôt cette année que son application recueille moins de données personnelles que les entreprises américaines telles que Facebook et Google. Dans un communiqué, un porte-parole a indiqué que la société s'était « engagée à protéger la vie privée et la sécurité de la communauté TikTok. Comme nos pairs, nous mettons constamment à jour notre application pour suivre l'évolution des défis de sécurité. » La société a déclaré que « la version actuelle de TikTok ne collecte pas les adresses MAC ». * L'application TikTok sera bannie aux Etats-Unis s'il n'est pas cédée d'ici mi-septembre (Trump) La plupart des principales applications mobiles collectent une gamme de données sur les utilisateurs, des pratiques que les défenseurs de la vie privée ont longtemps trouvées alarmantes, mais que les entreprises de technologie défendent comme offrant des expériences hautement personnalisées et une publicité ciblée. La collecte des données varie selon l'entreprise. Un porte-parole de Google a déclaré que la société enquêtait sur les conclusions du journal et s'est refusé à tout commentaire. Le problème concerne une « adresse de contrôle d'accès multimédia » à 12 chiffres, ou adresse MAC, qui est un numéro unique pour tous les appareils électroniques ayant une connexion à Internet, y compris les appareils mobiles. La Federal Trade Commission a déclaré que les adresses MAC sont considérées comme des informations personnellement identifiables en vertu de la loi sur la protection de la vie privée en ligne. Apple Inc. a verrouillé les adresses MAC de l'iPhone en 2013, empêchant les applications tierces de lire l'identifiant. Google a fait la même chose deux ans plus tard sous Android. TikTok a contourné cette restriction sur Android en utilisant une solution de contournement qui permet aux applications d'obtenir des adresses MAC, a démontré les tests du Journal. TikTok a collecté les adresses MAC pendant au moins 15 mois, se terminant par une mise à jour publiée le 18 novembre de l'année dernière, alors que ByteDance faisait l'objet d'un examen minutieux à Washington, rapporte le Journal. Il est courant que les applications mobiles cachent des parties de leurs logiciels pour éviter qu'ils ne soient copiés par des concurrents, mais le cryptage de TikTok ne semble pas protéger son application, a déclaré Marc Rogers, vice-président de la stratégie de cybersécurité chez Okta, qui fournit des services qui aident les utilisateurs à se connecter en ligne en toute sécurité. « Je suppose qu'ils contournent la détection, car si Apple ou Google les voyait transmettre ces identifiants, ils rejetteraient certainement l'application », a indiqué M. Rogers.
