Skip to main content

Ressources

BULLETIN D'INFORMATION

Le quai d'Hickory Dickory : Les problèmes de confidentialité affectent TikTok dans le monde entier

Vos données suivent-elles un rythme différent ?

Par Rodman Ramezanian - Responsable mondial des menaces liées à l'informatique en nuage

24 avril 2023 7 Minute Read

D'abord conçu pour faire rire grâce à de courts clips vidéo pendant la pandémie de coronavirus, TikTok s'est emparé du format vidéo court qui capte l'attention et a consolidé sa place parmi les applications de médias sociaux les plus populaires. Mais comme d'autres applications étrangères qui deviennent virales, TikTok, qui appartient à des Chinois, continue de faire l'objet d'un examen minutieux en ce qui concerne ses pratiques en matière de collecte de données et de protection de la vie privée. Mais cette fois, les États-Unis ne sont pas les seuls à tirer la sonnette d'alarme.

Invoquant une menace pour la "souveraineté et l'intégrité", l'Australie rejoint une poignée de gouvernements mondiaux, dont l'Inde, le Royaume-Uni, les États-Unis, le Canada et de nombreux pays d'Europe, qui demandent que l'application TikTok soit supprimée des téléphones portables de tous les fonctionnaires. Les gouvernements commencent à prendre les risques liés à TikTok plus au sérieux, mais avec plus d'un milliard d'utilisateurs actifs mensuels, les entreprises et les organisations non gouvernementales font-elles de même ?

Selon le Center for Internet Security, "les données collectées par TikTok auprès des utilisateurs contiennent des informations sensibles et sont souvent prises à l'insu de l'utilisateur". Ces données comprennent, entre autres, "la marque et le modèle de l'appareil, la version du système d'exploitation (OS), l'opérateur mobile, l'historique de navigation, les noms et types d'applications et de fichiers, les habitudes ou rythmes de frappe, les connexions sans fil, la géolocalisation." TikTok va même jusqu'à collecter d'autres informations personnelles identifiables (PII) telles que l'âge, l'image, les contacts personnels et d'autres données collectées par le biais de sa fonction intégrée d'authentification unique (SSO).

Étant donné que l'application peut collecter "le contenu des [messages] et des informations sur le moment où [les messages] sont envoyés, reçus et/ou lus" et, en particulier, que la récente audition du PDG de TikTok devant le Congrès a donné plus de substance au dialogue général, il est facile de comprendre pourquoi les grandes organisations et les entreprises du monde entier se méfient de plus en plus de TikTok et expriment leur inquiétude quant à la protection des données personnelles et d'entreprise qu'elle collecte.

Pourquoi ces violations se produisent-elles ?

Si les médias sociaux ont toujours présenté divers risques pour la sécurité, notamment la vulnérabilité au phishing et à la fraude, les gouvernements, les entreprises et les autres grandes organisations s'inquiètent surtout de l'effacement de la frontière entre l'utilisation personnelle et professionnelle des appareils sur lesquels TikTok est installé et consommé.

En outre, le risque d'utilisation abusive des données par des parties externes et internes est une préoccupation majeure. Cela s'explique par l'imbrication des plateformes et des services en ligne, avec des jetons d'authentification partagés, des intégrations à signature unique, la portabilité des données, et bien d'autres choses encore. Les ramifications d'un vol ou d'une utilisation abusive de données pourraient être graves, surtout si l'on considère l'utilisation généralisée des services web et des services en nuage.

La question est de savoir combien d'organisations se soucient suffisamment des menaces de sécurité pour soutenir une interdiction de TikTok et combien sont totalement inconscientes des risques qu'elles prennent.

Comme pour toute menace web, cloud ou mobile, il est essentiel que les équipes de sécurité apprennent et comprennent les principaux facteurs de risque. Comment TikTok traite-t-il les données ? Comment identifie-t-il et authentifie-t-il les utilisateurs et les appareils en toute sécurité ? Quels types de trafic et de contenu peuvent être partagés et consommés à partir de TikTok ? Où se trouvent les points de présence du service, et qu'est-ce que cela signifie pour l'appétence au risque d'une organisation ?

Compte tenu du grand nombre d'utilisateurs, d'appareils, de lieux, d'exigences professionnelles et autres, il est parfois difficile d'adopter une approche radicale en bloquant explicitement l'accès à certains services du jour au lendemain. Il y a beaucoup à dire sur l'éducation des utilisateurs et l'introduction de garde-fous de sécurité dans les cas où une organisation ne souhaite pas bloquer brusquement des services d'un seul coup.

Skyhigh Security aborde cette question en détaillant de nombreux attributs de risque qui doivent être pris en compte par les analystes de la sécurité lorsque les utilisateurs naviguent dans les eaux troubles entourant TikTok en tant que plateforme et service. Il s'agit notamment des risques liés aux données elles-mêmes, à l'utilisateur/appareil, au service, aux pratiques commerciales de l'organisation, aux questions juridiques et à la cybersécurité.

À partir de là, les équipes de sécurité peuvent commencer à mettre en place des contrôles de sécurité des données, tels que la limitation ou le blocage des connexions, des chargements et/ou des téléchargements, la limitation de la bande passante, l'introduction de pages web éducatives personnalisées pour les utilisateurs et d'autres mesures visant non seulement à limiter les fuites de données des appareils vers la plateforme TikTok, mais aussi, de manière plus globale, à mieux contrôler le flux de données sensibles qui atteignent les appareils des utilisateurs susceptibles de consommer d'autres services en ligne douteux susceptibles de maltraiter les données.

Que peut-on faire ?

Utilisez Skyhigh Security?

  • Utilisez le Skyhigh Cloud Registry pour tirer parti d'un algorithme de risque propriétaire et normalisé.
  • Tirez parti des règles de contrôle des activités pour définir les critères d'acceptation des activités des utilisateurs, telles que la connexion, le chargement et/ou le téléchargement sur les appareils gérés.
  • Mettez en œuvre des politiques d'ombre et de toile dans les endroits où TikTok est déjà interdit et commencez à limiter et à contrôler l'accès dans d'autres endroits.
  • Adaptez la pondération du risque global de votre organisation à travers de nombreuses catégories d'attributs de risque.
  • Créez et attribuez des groupes de services en fonction de caractéristiques spécifiques, telles que les pratiques de traitement des données, les points de présence mondiaux, les violations récentes, etc.
Rodman Ramezanian

A propos de l'auteur

Rodman Ramezanian

Responsable mondial des menaces liées à l'informatique en nuage

Avec plus de 11 ans d'expérience dans le secteur de la cybersécurité, Rodman Ramezanian est conseiller en sécurité Cloud pour les entreprises, responsable du conseil technique, de l'habilitation, de la conception de solutions et de l'architecture à l'adresse Skyhigh Security. Dans ce rôle, Rodman se concentre principalement sur le gouvernement fédéral australien, la défense et les organisations d'entreprise.

Rodman est spécialisé dans les domaines du renseignement sur les menaces adverses, de la cybercriminalité, de la protection des données et de la sécurité du cloud. Il est un évaluateur du PARI approuvé par l'Australian Signals Directorate (ASD) et détient actuellement les certifications CISSP, CCSP, CISA, CDPSE, Microsoft Azure et MITRE ATT&CK CTI.

En toute sincérité, M. Rodman a une grande passion pour la formulation de sujets complexes en termes simples, afin d'aider le commun des mortels et les nouveaux professionnels de la sécurité à comprendre le quoi, le pourquoi et le comment de la cybersécurité.

Points forts de l'attaque

  • Les applications de médias sociaux sont ancrées dans les données et les appareils sur lesquels elles sont installées, ces mêmes appareils qui sont aujourd'hui utilisés à des fins personnelles et professionnelles.
  • TikTok, comme toutes les applications, ouvre potentiellement l'accès à l'ensemble du téléphone portable de l'utilisateur. Les applications de téléphonie mobile peuvent offrir des possibilités crédibles d'accès à d'autres éléments de l'appareil, en l'occurrence les données qu'il contient.
  • TikTok peut également accéder à des informations provenant d'autres sources de connexion ou liées au profil d'un utilisateur, et en collecter. Il peut s'agir de Google, de Facebook, de Twitter ou de tout autre service utilisé pour authentifier les utilisateurs de TikTok.
  • Avec la prolifération continue des pratiques BYOD (bring your own device), la frontière virtuelle entre l'utilisation personnelle et l'utilisation professionnelle est floue. Les mêmes applications inquiétantes continuent de coexister avec de vastes quantités de points de données d'entreprise qui finissent apparemment entre de mauvaises mains.
  • Maintenant que les gouvernements du monde entier ont décidé d'interdire TikTok sur les appareils des fonctionnaires, les entreprises et autres organisations sont également encouragées à repenser la manière dont elles utilisent TikTok en tant que plateforme et service.