TikTok a profité d’une ‘faille’ sur Android pour pister ses utilisateurs

L’app TikTok est dans le collimateur du gouvernement américain, alors que ce dernier comptait déjà l’interdire sur son territoire pour suspicion d’espionnage en faveur de la Chine. D’après le Wall Street Journal, l’application chinoise aurait suivi ses utilisateurs Android sans leur consentement, cela jusqu’en novembre dernier. 

La version pour Android collectait les adresses MAC (Media Access Control) de ses utilisateurs, une pratique interdite par Google et en théorie impossible. TikTok exploitait une faille de sécurité sur Android pour accéder à cette information normalement cachée. 

L’adresse MAC est un identifiant unique associé à chaque appareil et qui ne change jamais, ce qui en fait un excellent outil de suivi. C’est pour cette raison que les app’s ne sont pas censées pouvoir accéder à cette adresse. 

‘TikTok ne collecte pas les adresses Mac’

TikTok aurait suivi ses utilisateurs Android pendant près de 15 mois jusqu’au 18 novembre dernier, après une mise à jour publiée sur Google Play qui a renforcé les mesures de protection sur Android. 

De son côté, le porte-parole de TikTok a adressé un message aux journalistes de TechCrunch, à qui il a refusé d’accorder une interview : ‘(…) nous nous engageons à protéger la vie privée et la sécurité de la communauté TikTok (…) la version actuelle de TikTok ne collecte pas les adresses MAC. Nous n’avons jamais communiqué aucune donnée de nos utilisateurs au gouvernement chinois et nous ne le ferions pas, même si on nous le demandait. Nous encourageons toujours nos utilisateurs à télécharger la version la plus récente de TikTok’.

Le Wall Street Journal affirme en revanche que la méthode utilisée par TikTok pour contourner les politiques de Google est encore aujourd’hui d’actualité depuis l’app.

Ce cas de figure n’est pas un cas exceptionnel, mais ces révélations tombent mal pour l’application chinoise, déjà sous le feu des projecteurs. En vertu de la législation européenne, tout identifiant fixe (par exemple une adresse MAC) est traité comme une donnée à caractère personnel, et relève du cadre de protection des données GDPR de l’UE, qui impose des conditions strictes quant à la manière dont ces données peuvent être traitées.

Ce qui signifie donc que TikTok , rien qu’en Europe, s’expose déjà à de lourdes sanctions.

Plus