L’omniprésence des applications et réseaux sociaux chinois sur les téléphones des Taïwanais soulève-t-elle un risque de sécurité, ou de cybersécurité, à plus forte raison dans un contexte de tensions accrues entre Pékin et Taipei ? C’est l’opinion défendue par le National Security Bureau, la principale agence de renseignements de Taïwan, qui a rendu publics le 2 juillet dernier les résultats d’une enquête menée conjointement avec les forces de police et la cellule investigation du ministère de la Justice.

15 indicateurs passés au crible

Objectif affiché : estimer en quelle mesure cinq applications mobiles chinoises particulièrement populaires exploitent les données personnelles de l’utilisateur final et si ces informations sont transmises à la Chine. L’enquête, résumée dans le tableau ci-dessous, a porté sur Rednote, Weibo, Douyin (équivalent local de TikTok), WeChat et Baidu Cloud.

Elle a consisté à analyser leur fonctionnement au regard de 15 indicateurs, répartis en ce que le NSB considère comme cinq types d’infractions possibles, à savoir la collecte de données personnelles, l’exploitation excessive des permissions accordées par l’utilisateur, le partage ou la transmission de données, l’extraction d’informations issues du système d’exploitation de l’appareil, et l’accès à des données biométriques.

Le verdict se veut sans appel : « La totalité des cinq applications ont montré de graves violations sur plusieurs indicateurs d’inspection. Rednote, notamment, échoue sur les 15 indicateurs. Weibo et Douyin enfreignent 13 indicateurs, contre 10 pour WeChat et 9 pour Baidu Cloud. Ces résultats suggèrent que les applications chinoises en question présentent des risques de cybersécurité bien supérieurs aux attentes raisonnables en matière de collecte de données pour une application ordinaire. »

Reconnaissance faciale, captures d’écran, contacts et géolocalisations

Le NSB s’inquiète notamment de ce que plusieurs applications soient capables d’accéder aux données de reconnaissance faciale (utilisées pour le déverrouillage du smartphone), aux captures d’écran, à la liste des contacts ou à des données de géolocalisation, mais aussi de transmettre ces dernières vers un serveur distant :

« Ce type de transmission suscite de sérieuses inquiétudes quant à l’utilisation abusive potentielle des données personnelles par des tiers. En vertu de la loi chinoise sur la cybersécurité et de la loi sur le renseignement national, les entreprises chinoises sont tenues de transmettre les données des utilisateurs aux autorités compétentes en matière de sécurité nationale, de sécurité publique et de renseignement. »

Usage déconseillé

Le NSB rappelle que l’utilisation des applications sociales chinoises est interdite au sein du gouvernement taïwanais sur les ordinateurs et téléphones professionnels. Il enjoint désormais le grand public à « rester vigilant » en matière de sécurité des appareils mobiles et « éviter de télécharger des applications fabriquées en Chine qui présentent des risques de cybersécurité ».

L’agence rappelle qu’elle n’est pas la seule à s’inquiéter de ces risques, même si les services visés ne sont pas les mêmes entre Taïwan et les marchés occidentaux, sur lesquels Rednote ou Weibo ne sont pas particulièrement populaires.

Le Canada a ordonné, fin 2024, la fermeture de l’antenne locale de TikTok, en invoquant précisément un risque lié à la sécurité nationale. La question mobilise également les États-Unis, où Donald Trump œuvre à faire transférer les activités de TikTok vers une coentreprise dont la gouvernance serait compatible avec ses vues.

TikTok et sa maison mère Bytedance font également depuis plusieurs années l’objet d’un examen attentif de la part de la Commission européenne. L’agence de protection des données personnelles irlandaise vient par ailleurs de prononcer une amende de 530 millions d’euros à l’encontre de TikTok pour non-respect du règlement général européen sur la protection des données (RGPD).