TikTok s’est embourbé dans une nouvelle controverse, qui le place dans la même infamie que des plateformes rivales comme Instagram et Facebook, à savoir le suivi des utilisateurs sur le Web. Selon une analyse du chercheur en sécurité Felix Krause, le navigateur Web de l’application TikTok est capable d’enregistrer toutes les saisies au clavier, ce qui lui donne potentiellement accès à des informations sensibles comme les identifiants de connexion, ainsi qu’à un suivi des sites Web visités par les utilisateurs et de ce qu’ils font sur ces pages Web.
Lorsque vous cliquez sur un lien en surfant sur l’application TikTok, celui-ci s’ouvre dans une vue Web native qui sert de navigateur Web de base à TikTok. Toutes les applications ne font pas cela. Prenons l’exemple de WhatsApp. Lorsque vous cliquez sur une URL partagée sur l’application de messagerie, celle-ci s’ouvre automatiquement dans le navigateur Web par défaut de votre smartphone, qui peut être aussi bien Chrome que Safari.
TikTok n’est pas le seul à offrir une expérience de navigateur native, mais il y a quelque chose de potentiellement néfaste intégré dans le code. Selon Krause, le navigateur intégré de TikTok comporte des lignes de commande JavaScript qui lui permettent d’enregistrer chaque frappe lorsque les utilisateurs consultent un site Web. Cela signifie que chaque saisie au clavier, des messages aux identifiants de connexion, peut être enregistrée.
L’enregistrement des frappes au clavier est l’une des techniques les plus utilisées pour voler des informations sensibles, ce qui amène à se demander pourquoi une application comme TikTok utilise ce code pour son navigateur Web in-app. Outre le suivi des frappes au clavier, le navigateur de TikTok est également capable d’enregistrer toutes les saisies à l’écran. L’application est capable d’enregistrer chaque image sur laquelle vous cliquez, chaque bouton sur lequel vous appuyez et chaque URL avec laquelle vous interagissez dans le navigateur Web TikTok.
Tout cela est réalisé à l’aide d’une fonction JavaScript personnalisée. Les représentants de TikTok ont nié les allégations de suivi des utilisateurs, mais admettent que le code JavaScript pour les activités susmentionnées fait effectivement partie de l’expérience du navigateur in-app. Cependant, l’explication de la raison pour laquelle ces fonctions douteuses sont intégrées au navigateur Web in-app semble plutôt étrange.
Dans une déclaration officielle partagée avec Forbes, un porte-parole de TikTok a mentionné que le code JavaScript controversé est là pour « le débogage, le dépannage et le contrôle des performances » de l’expérience Web offerte par le navigateur in-app.
Il convient de noter ici que Krause ne prétend pas avoir trouvé de preuves que TikTok abuse de cette fonctionnalité pour suivre les utilisateurs ni de preuves que ces précieuses données sont partagées avec des tiers. En même temps, comme Krause l’a déclaré à Forbes, « cela ne se produit pas par erreur ou par hasard ».
L’application qui surveille le plus grand nombre d’activités des utilisateurs
Il est intéressant de noter que, sur les 7 applications testées dans le cadre d’un projet de recherche mené par Krause, TikTok s’est avérée être la seule à être capable d’enregistrer les frappes au clavier. TikTok est également apparue comme l’application qui surveille le plus grand nombre d’activités des utilisateurs — plus que Facebook, Instagram, Amazon et Snapchat.
Il est également difficile de prendre les déclarations de TikTok pour argent comptant. Une enquête de BuzzFeed qui fait l’effet d’une bombe a récemment révélé que des données d’utilisateurs américains ont été consultées en Chine, bien que l’entreprise ait affirmé le contraire à plusieurs reprises par le passé. À la suite du rapport de BuzzFeed, qui citait des fuites d’enregistrements audio internes, TikTok a annoncé qu’elle déplaçait toutes les données des utilisateurs américains vers des serveurs situés sur le sol américain, grâce à un partenariat avec Oracle. TikTok est déjà interdit en Inde pour des raisons de sécurité nationale et a évité de justesse une interdiction aux États-Unis pour des raisons analogues il n’y a pas si longtemps.