L'ANSSI tchèque qualifie TikTok de « menace pour la cybersécurité »

L’ANSSI tchèque qualifie TikTok de « menace pour la cybersécurité »

Tactique #check

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

10/03/2023
16

L'ANSSI tchèque qualifie TikTok de « menace pour la cybersécurité »

Elle déconseille aux personnes d'intérêt dont les données « pourraient être ciblées par les activités des services de renseignement étrangers » de l'installer et de l'utiliser, et recommande d'interdire TikTok « sur les dispositifs ayant accès à un système réglementé ».

La Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB, l'Office tchèque de la cybersécurité et de la sécurité de l'information, l'équivalent de l'ANSSI) vient de rendre publique une alerte qualifiant de « menace pour la cybersécurité » le fait d'installer et d'utiliser TikTok « sur des appareils donnant accès à des systèmes d'infrastructure d'information et de communication critiques, à des systèmes d'information et de communication de services essentiels et à des systèmes d'information importants » : 

« L'office s'inquiète des menaces potentielles pour la sécurité découlant de l'utilisation de TikTok, principalement en raison de la quantité de données d'utilisateur collectées par l'application et de la manière dont ces données sont traitées. »

La NÚKIB précise avoir émis cet avertissement « sur la base de ses propres constatations et des informations fournies par ses partenaires », et qualifie la menace d' « "élevée", c'est-à-dire probable à très probable » : 

« Le NÚKIB recommande d'interdire l'installation et l'utilisation de TikTok sur les dispositifs ayant accès à un système réglementé (dispositifs d'entreprise et dispositifs personnels utilisés à des fins professionnelles), car c'est le meilleur moyen d'éliminer ou de minimiser la menace. »

L'office encourage également le public à « reconsidérer l'utilisation de TikTok » ainsi que les quantités et les types de données qu'il partage via l'application, et déconseille son utilisation aux « personnes d'intérêt » qui occupent des postes politiques, publics ou décisionnels de haut niveau, et dont les données « pourraient être ciblées par les activités des services de renseignement étrangers ». 

« La quantité de données collectées et traitées, combinée à l'environnement juridique en Chine et au nombre croissant d'utilisateurs en République tchèque, ne nous laisse pas d'autre choix que de décrire TikTok comme une menace pour la sécurité », a déclaré Lukáš Kintr, directeur de la NÚKIB : 

« L'avertissement ne fait pas de distinction entre les utilisateurs du secteur public et ceux du secteur privé. La question essentielle est de savoir si une menace pesant sur un système particulier peut nuire au fonctionnement de la République tchèque et à la sécurité de chacun d'entre nous. »

Dans son alerte, la NÚKIB explique que « la cybersécurité ne consiste pas seulement à évaluer les aspects techniques des technologies utilisées » : 

« Lors de la sélection des outils techniques et logiciels utilisés pour assurer le bon fonctionnement des systèmes d'information et de communication et de leurs fournisseurs, il est nécessaire de prendre en compte les aspects non techniques de la sécurité de la technologie, c'est-à-dire d'évaluer la crédibilité des fournisseurs et des sous-traitants (fabricants) de la technologie. »

De plus, la confiance dans le fournisseur doit dès lors être présente « à la fois au niveau de la forme finale » et technique de la solution fournie, mais également « au niveau stratégique », et donc prendre en compte l'environnement commercial, juridique et politique dans lequel le fournisseur opère.

Or, « le niveau de crédibilité de l'environnement juridique de certains pays a un impact direct sur la crédibilité des entreprises qui y ont leur siège et qui sont soumises à cet environnement juridique », précise la NÚKIB : « il n'est pas exclu que les entreprises concernées soient contraintes par l'État de faire passer les intérêts de cet État avant ceux de leurs clients ».

ByteDance, la société mère de TikTok, étant une entité soumise à la législation nationale chinoise, la collecte de données à grande échelle que lui permet TikTok « est préoccupante en raison de l'environnement juridique et politique de la République populaire de Chine (RPC) », estime la NÚKIB.

Un empilement de loi au service du Parti communiste chinois

La loi sur la sécurité de l'État de 2015 impose en effet « une obligation générale à tous les citoyens et organisations chinois » de fournir une assistance aux autorités de l'État en matière de sécurité de l'État. 

La loi de 2017 sur les activités de renseignement de l'État dispose dans son article 7 que les citoyens et organisations chinoises « doivent soutenir les activités de renseignement national, coopérer et collaborer, et maintenir la confidentialité des informations classifiées dont ils ont connaissance dans le cadre des activités de renseignement national ». 

La loi de 2014 sur les activités de contre-espionnage de l'État impose pour sa part « une obligation de coopération et d'information aux clients étrangers des entreprises chinoises » qui sont soupçonnés d'activités d'espionnage par les autorités de l'État : 

« Selon l'article 6, cette loi est également applicable aux institutions, organisations et individus qui organisent ou financent des activités d'espionnage contre la République populaire de Chine ("RPC") en dehors de son territoire, avec un large éventail d'activités qui peuvent être définies comme de l'espionnage par les autorités chinoises. Tout cela sans possibilité de contrôle judiciaire indépendant. »

La loi sur les sociétés de 2013 permet de son côté au Parti communiste chinois (PCC) d' « influencer efficacement le fonctionnement des entreprises privées ». Selon l'article 19, une organisation du PCC « doit être établie dans la société pour mener à bien les activités du PCC conformément à sa Constitution ».

Selon les règles de 2021 relatives au signalement des vulnérabilités dans les dispositifs de réseau, les fabricants de technologies sont par ailleurs « tenus de signaler les failles de sécurité » au ministère chinois de l'Industrie et des technologies de l'information (MIIT) « au plus tard deux jours après leur découverte ». 

Or, relève la NÚKIB, le MIIT signale dans la foulée ces découvertes au ministère de la Sécurité de l'État de la RPC et aux autres autorités compétentes. Et ce, alors qu'il est par ailleurs interdit de divulguer ces failles au public ou de les signaler à des organisations et des personnes étrangères : 

« Ce qui précède fait donc craindre que les intérêts de la RPC ne soient placés au-dessus des intérêts des utilisateurs de technologies des entreprises soumises à l'environnement juridique de la RPC. »

Une menace complexe croissante en matière de renseignement

La NÚKIB relève en outre que selon le rapport annuel 2021 du service d'information sur la sécurité de la République tchèque (BIS), la RPC « représente une menace complexe croissante en matière de renseignement » : 

« Selon ce rapport, les services de renseignement chinois mènent des opérations d'influence pour le compte de la RPC contre les intérêts de la République tchèque et leurs activités se déroulent à un niveau élevé sur notre territoire. »

Pour le BIS, « le niveau élevé d'activité des acteurs chinois dans le domaine des cyber-attaques » ciblant la République tchèque et d'autres membres de l'Union européenne et de l'Organisation du traité de l'Atlantique Nord « ne peut être ignoré ».

Et ce, d'autant que les informations recueillies montrent que TikTok « collecte un nombre excessif de données sur les utilisateurs », dont : 

  • le contenu des communications privées, stocké sur les serveurs de ByteDance,
  • la vérification périodique de l'emplacement des appareils,
  • l'accès aux contacts sur l'appareil,
  • les informations sur l'appareil, y compris le SSID Wi-Fi, la configuration Wi-Fi précédente,
  • le numéro de série de l'appareil et de la carte SIM, l'ID de l'appareil, l'IMEI de l'appareil, l'adresse MAC de l'appareil, le numéro de téléphone, etc, le numéro de série de l'appareil et de la carte SIM, le deviceID, l'IMEI de l'appareil, l'adresse MAC de l'appareil, le numéro de téléphone, la liste de tous les comptes d'utilisateur utilisés sur l'appareil et l'accès complet au presse-papiers,
  • l'accès permanent au calendrier pour le lire et le modifier,
  • le navigateur natif imposé permet en outre de « surveiller la quasi-totalité de l'activité de l'utilisateur (p. ex. par exemple, les frappes sur l'écran) ».

Ces données peuvent être utilisées pour faire chanter des VIP

TikTok n'est certes pas le seul réseau social à collecter de telles données, mais l'étendue des obligations légales qui s'impose à ByteDance d'une part, associée aux menaces en termes de cyberespionnage que pose la Chine d'autre part, incite la NÚKIB à estimer que « la quantité de données et la manière dont elles sont collectées peuvent servir à cibler des cyber-attaques sur des individus spécifiques, augmentant ainsi le risque de réussite (par exemple, par le biais du spear phishing) » : 

« Dans le même temps, ces données peuvent être utilisées pour faire chanter des personnes d'intérêt et ainsi porter atteinte à la sécurité ou aux intérêts stratégiques de la République tchèque. »

La NÚKIB relève également que ByteDance a elle-même déclaré publiquement que « bien que les données des utilisateurs européens soient stockées aux États-Unis et à Singapour, certaines entités basées au Brésil, en RPC, en Malaisie, à Singapour, aux États-Unis et aux Philippines y ont accès à distance ».

L'office tchèque s'inquiète également du fait que Douyin, la version modifiée de l'application TikTok destinée au marché chinois, « permet de télécharger et d'installer du code à l'insu de l'utilisateur » : 

« Cela présente un risque de téléchargement et d'installation de codes malveillants qui peuvent compromettre l'appareil et, par conséquent, le système réglementé auquel l'appareil a accès. Il n'est pas exclu qu'une fonctionnalité similaire soit intégrée à la version internationale de l'application TikTok à l'avenir. »

La NÚKIB rapporte au surplus que « des analyses techniques de sources ouvertes ainsi que d'autres informations indiquent que les employés de ByteDance en RPC traitent et accèdent de manière problématique aux données des utilisateurs, malgré les déclarations répétées de ses représentants à ce sujet ». L'office ne fournit pas, cependant, de liens vers ces « sources ouvertes », son alerte ne comportant d'ailleurs aucun lien externe.

L'office estime que le niveau de menace « est principalement dû à la combinaison du grand nombre d'utilisateurs de TikTok en République tchèque, aux spécificités techniques de l'application qui collecte une quantité excessive d'informations et de données sensibles et hautement exploitables sur ses utilisateurs, et à l'environnement juridique dans lequel ByteDance opère et est tenu de le faire ».

Et ce, précise la NÚKIB, alors que « nous ne pouvons pas ignorer le fait que la nature problématique de l'application a été soulignée depuis longtemps par les partenaires nationaux et internationaux, et que de nombreux États membres et institutions de l'UE ont déjà pris des mesures préventives à son encontre » : 

« Dans l'ensemble, les faits susmentionnés suscitent une inquiétude raisonnable quant aux risques potentiels pour la sécurité découlant de l'installation et de l'utilisation de l'application TikTok sur des appareils accédant à des systèmes d'information et de communication d'infrastructures d'information critiques, de systèmes d'information de services essentiels et de systèmes d'information importants. »

La décision d'utilisation appartient à chacun

Dans un jeu de questions/réponses, publié dans la version tchèque de son communiqué, la NÚKIB précise que ses avertissements visent à « attirer l'attention sur l'existence d'une menace dans le domaine de la cybersécurité, à laquelle il faut répondre immédiatement », mais également qu'un avertissement « ne signifie donc pas une interdiction inconditionnelle de l'utilisation des ressources techniques et logicielles données » : 

« Le fait que NÚKIB ait émis un avertissement signifie que la menace n'est pas négligeable et atteint un certain niveau et qu'il existe suffisamment de preuves pour qu'un avertissement soit émis. »

L'office, qui « surveille et évalue les risques de sécurité associés à l'application TikTok depuis longtemps », a décidé de lancer l'alerte « car la technologie est très répandue et sa diffusion s'amplifie ».

Évoquant le fait que les autres plateformes sociales du même type pourraient, elles aussi, constituer une menace, la NÚKIB rétorque que « dans le cas de TikTok, les menaces sont plus importantes qu'avec la plupart des applications populaires comparables » : 

« En effet, elle collecte une grande quantité de données sur ses utilisateurs (y compris des données très sensibles) dont elle n'a pas immédiatement besoin pour son fonctionnement. De plus, il faut tenir compte de l'environnement juridique chinois, qui impose aux entreprises chinoises, et donc aussi aux opérateurs d'applications telles que TikTok, l'obligation de coopérer et de partager des informations avec l'État, sans garanties juridiques appropriées. »

De plus, les autres plateformes sociales n'enregistrent pas « actuellement » cette combinaison d'un grand nombre d'utilisateurs, d'une collecte « excessive » de données, des spécificités de l'environnement juridique dans lequel l'opérateur de l'application opère, et « en même temps » des services de renseignement cherchant à « influencer les opérations à l'origine de cet environnement », ce qui « fait la différence entre TikTok et les autres applications du même type ».

Évoquant les risques pour les utilisateurs réguliers à continuer d'utiliser TikTok, la NÚKIB conclut son alerte en soulignant que « l'application continuera à collecter une grande quantité de données à leur sujet qui ne sont pas pertinentes pour le fonctionnement de l'application elle-même, mais qui pourraient être utilisées à mauvais escient à l'avenir » : 

« Cependant, la décision d'utilisation appartient à chacun. »

16

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un empilement de loi au service du Parti communiste chinois

Une menace complexe croissante en matière de renseignement

Ces données peuvent être utilisées pour faire chanter des VIP

La décision d'utilisation appartient à chacun

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (16)


jjmm Abonné
Le 10/03/2023 à 16h 49

Autant j’adhère à l’alerte, autant le jugement que la situation est moins alarmante pour les autres réseaux sociaux (je pense bien sûr à Meta) me laisse perplexe.


Le 10/03/2023 à 16h 50

Le problème n’est pas Tiktok, FB ou Twitter mais l’utilisation d’un RS quelconque sur un appareil accédant à un système réglementé. QQ qui fait cela n’hésitera pas à ouvrir un mail “I love you” envoyée par une championne de tennis à la blonde chevelure.



Ils omettent juste de dire que la plupart des infos recueillies sont également demandées par d’autres APPs.
Il n’y a pas extraterritorialité des lois chinoises alors que les USA ont cet instrument. Sur Tiktok, on peut limiter le partage des informations tels que les contacts, la localisation…
Tiktok ne voit pas mes contacts et ce même s’il persiste à me demander l’accès.
A la différence d’un FB par exemple dont les APIs sont utilisées même en dehors de l’APP voire sans avoir de compte.
Tout cela pour dire que c’est juste une guerre économique et que les intentions des uns et des autres ne sont pas celles qu’ils affichent.
Dans un contexte où les GAFAM commencent aussi à trinquer l’arrivée de ce n-ième larron qui engrange du temps de cerveau disponible est très mal vue.


Romain_Ph Abonné
Le 10/03/2023 à 16h 54

+1 on fait juste du mac carthisme 2.0. Comme tu le dis si bien, c’est les réseaux sociaux qui sont à proscrire de manière générale sur un téléphone pro.


Erwan123 Abonné
Le 10/03/2023 à 20h 16

Romain_Ph

+1 on fait juste du mac carthisme 2.0. Comme tu le dis si bien, c’est les réseaux sociaux qui sont à proscrire de manière générale sur un téléphone pro.



romainsromain a dit:


+1 on fait juste du mac carthisme 2.0. Comme tu le dis si bien, c’est les réseaux sociaux qui sont à proscrire de manière générale sur un téléphone pro.




“Téléphone Pro” & “Réseaux sociaux” sont en effet des termes totalement antinomiques.


Le 10/03/2023 à 18h 43

J’avais déjà entendu parlé du fait que l’appli TikTok envoie bcp de données. D’ailleurs, l’appli stocke sur mon propre mobile entre 1 et 2 Go.



Cela-dit, je reste perplexe sur l’utilisation des outils Google, Meta par nos élus et employés des collectivités publiques, puisque apparemment le RGPD européen ne protège pas suffisamment les données de tout résident européen.


alain_p Abonné
Le 10/03/2023 à 21h 09

Quand on veut noyer son chien, on l’accuse d’avoir la rage.
Là, c’est une compétition économique et de dominance mondiale entre la Chine et les États-Unis, que beaucoup d’états suivent. Cela me rappelle la 5G, et l’interdiction es antennes 5G


brupala Abonné
Le 10/03/2023 à 23h 34

Tout à fait, le mimétisme est dans la continuité.
Sur le fond, ça ne donne guère confiance dans ces agences de sécurité juste capables de répéter la voix de leur maitre.
Le jour où elles se rendront compte que leur maitre est leur véritable ennemi, elles vont se sentir toutes nues.


Xanatos Abonné
Le 11/03/2023 à 00h 10

Je ne comprends pas pourquoi les occidentaux se réveillent 3ans plus tard pour TikTok.
D’ailleurs je ne comprends toujours pas 15ans après pourquoi cette réflexion ne s’est pas appliquée à l’époque à Facebook, les bots Google qui lisent email, etc.
Après on me parle du shoot de dopamine des cercles/followers/reconnaissance sociale, bhaaa


yvan Abonné
Le 13/03/2023 à 10h 27

ça fait depuis le début que régulièrement tiktok est décrit ainsi. Personne ne s’est réveillé.
Genre déjà sous trump…
https://www.bbc.com/news/world-us-canada-53625344


HiDeN Abonné
Le 12/03/2023 à 12h 49

brupala a dit:


Tout à fait, le mimétisme est dans la continuité. Sur le fond, ça ne donne guère confiance dans ces agences de sécurité juste capables de répéter la voix de leur maitre. Le jour où elles se rendront compte que leur maitre est leur véritable ennemi, elles vont se sentir toutes nues.




Je n’ai jamais compris ce manichéisme. Ca n’est pas parceque les américains nous pétent en continu depuis 30 ans qu’il ne faudrait pas dénoncer le fait que les chinois se mettent a faire de même. Et inversement. Les agences n’ont pas fait leur travail pendant des décénies on ne va quand même pas se plaindre maintenant que le job commence a être fait…


brupala Abonné
Le 12/03/2023 à 17h 54

Sauf que le job n’existe pas , ou consiste plutôt à juste propager des mensonges, histoire de rester dans la zone de protection.


HiDeN Abonné
Le 14/03/2023 à 22h 58

brupala

Sauf que le job n’existe pas , ou consiste plutôt à juste propager des mensonges, histoire de rester dans la zone de protection.


Ben voyons, les agences de sécurité sont toutes des officines à la solde de l’OTAN et Tiktok est une application tout à fait respectable. Non mais on est où la ? Sur France soir ?


Le 12/03/2023 à 21h 20

assange est toujours en prison pour avoir fait ce que fait l’agence tcheque avec tiktok. Le 2 poids 2 mesures n’a pas sa place en démocratie, soit la justice condamne tous cela, soit c’est libre.



mais pas les 2 en même temps


yvan Abonné
Le 13/03/2023 à 10h 31

sanscrit

assange est toujours en prison pour avoir fait ce que fait l’agence tcheque avec tiktok. Le 2 poids 2 mesures n’a pas sa place en démocratie, soit la justice condamne tous cela, soit c’est libre.



mais pas les 2 en même temps


Quelle démocratie ? Ces gouvernements où on obéit aux riches en regardant du porno, des bimbos insta et des danses tiktok surveillés/tapés par la police entre deux élections “chèque en blanc” ? On est en république avec des lois un peu libérales et c’est déjà pas mal, la démocratie faut pas exagérer non plus :non: .



Du coup il y a bien évidemment les bons logiciels espions, et les mauvais logiciels espions… ceux qui sont du côté des bons riches et ceux qui sont du côté des mauvais riches.


MakaM Abonné
Le 14/03/2023 à 17h 47

yvan

Quelle démocratie ? Ces gouvernements où on obéit aux riches en regardant du porno, des bimbos insta et des danses tiktok surveillés/tapés par la police entre deux élections “chèque en blanc” ? On est en république avec des lois un peu libérales et c’est déjà pas mal, la démocratie faut pas exagérer non plus :non: .



Du coup il y a bien évidemment les bons logiciels espions, et les mauvais logiciels espions… ceux qui sont du côté des bons riches et ceux qui sont du côté des mauvais riches.


Alors là, je suis d’accord sur le fond et j’apprécie la forme satyrique, merci ! :chinois:
bon juste, je dirais pas que c’est “déjà pas mal” ce type de république : il faut vraiment que l’on vise mieux pour un tas de raisons plus ou moins pressantes…


HiDeN Abonné
Le 14/03/2023 à 23h 00

sanscrit

assange est toujours en prison pour avoir fait ce que fait l’agence tcheque avec tiktok. Le 2 poids 2 mesures n’a pas sa place en démocratie, soit la justice condamne tous cela, soit c’est libre.



mais pas les 2 en même temps


Aucun rapport avec mon commentaire. Tiktok est un outil de guerre cognitive à la solde du PCC. Et ce, que Facebook en soit un a la solde de la CIA ou non, ça ne change rien.