PERSONNEL D’ADF
Avec 1 milliard d’utilisateurs, TikTok est l’une des applis qui enregistrent la plus forte croissance dans le monde. Il détient près de 32 % du marché des réseaux sociaux au Nigeria et son nombre d’utilisateurs a doublé en Afrique du Sud pour atteindre environ 10 millions.
Mais les experts en cybersécurité avertissent que cette appli conçue en Chine est aussi employée pour voler les données des utilisateurs.
Les analystes déclarent que l’appli recueille plus de données que nécessaire, notamment les listes de contact, les calendriers et les scans des disques durs. Elle traque aussi l’emplacement de l’utilisateur sur une base horaire, ce qui pourrait poser un risque de sécurité sur les smartphones des soldats ou des responsables gouvernementaux.
Robert Potter, co-PDG du groupe de cybersécurité Internet 2.0 et rédacteur d’un rapport sur TikTok, déclare au Guardian : « Lorsque l’appli est utilisée, elle obtient beaucoup plus de permissions que ce qui est vraiment nécessaire. Elle les obtient par défaut. »
Si les utilisateurs décident de bloquer l’accès de TikTok à certaines portions de leur téléphone, l’appli continue à essayer d’y accéder.
« Si vous dites à Facebook que vous ne voulez pas partager quelque chose, Facebook ne vous le demandera plus, déclare M. Potter. TikTok est beaucoup plus agressif. »
Le rapport de M. Potter indique que les pratiques de collecte de données de l’appli sont « excessivement intrusives » et met en cause leur but. Les recherches d’Internet 2.0 montrent que le gouvernement chinois peut accéder aux données recueillies par TikTok.
Le rapport conclut que « l’application peut être bien exécutée, et le sera, sans recueillir aucune de ces données. Ceci nous conduit à penser que l’unique objectif de collecte de ces informations est le ramassage des données. »
La faible discrétion de TikTok est une invitation aux acteurs malveillants et aux escrocs, selon l’article du chercheur en cybersécurité Satnam Narang pour le site web Tenable.
Le « challenge du corps invisible », parmi les nombreux challenges de TikTok, offre un exemple du risque que les tiktokeurs affrontent.
Les utilisateurs peuvent effacer leur aspect physique d’une vidéo pour devenir « invisibles », mais il y a un problème : le jeu est optimisé lorsque les joueurs sont nus. Ceci conduit les escrocs en ligne à offrir une autre appli pour éliminer les filtres du jeu du corps invisible pour visualiser les gens nus.
Au lieu de voir les joueurs du corps invisible sans leurs vêtements, les utilisateurs de l’appli de « défiltrage » découvrent que leur téléphone est attaqué par le maliciel WASP qui vole les mots de passe, les informations bancaires et les détails personnels.
En date de la mi-janvier, le logiciel initial du corps invisible avait été visualisé par près de 43 millions de personnes. Les vidéos offrant le maliciel de « défiltrage » ont enregistré un million de visualisations quelques jours après son lancement, selon la société de sécurité Internet Checkmarx, ce qui a fait sonner l’alarme.
L’équipe de réponse aux incidents de sécurité informatique de la Commission nigériane des communications a émis récemment un avertissement pour les 163 millions d’utilisateurs de smartphone concernant la menace causée par l’appli de « défiltrage ». Le Nigeria possède le plus grand nombre de personnes en ligne sur le continent et c’est l’un des principaux pays où les habitants commettent des escroqueries Internet, ou en sont victimes. La source du maliciel de « défiltrage » est incertaine.
« Ce maliciel pourrait être capable de recueillir secrètement des captures d’écran ou des enregistrements vidéo, ou il pourrait activer une caméra ou un micro connecté », a déclaré l’agence dans son avertissement au public.
L’agence a aussi recommandé aux utilisateurs de smartphone de se protéger comme suit :
- Ne pas cliquer sur les liens suspects.
- Installer un logiciel anti-maliciel sur leur appareil.
- Examiner leur téléphone pour rechercher toute appli anormale et l’éliminer si on ne se souvient pas de son installation.
- Employer un gestionnaire de mots de passe pour protéger les mots de passe contre les maliciels tels que celui de « défiltrage », qui peut enregistrer les frappes.
L’avertissement lié au corps invisible est la plus récente critique concernant TikTok, qui possède plus d’un milliard d’utilisateurs dans le monde.
Les créateurs de l’appli de « défiltrage » jouent au chat et à la souris avec les experts en cybersécurité. Chaque fois que leur maliciel est retiré d’un serveur, ils le remplacent par une version différente ou ils le cachent quelque part dans les documents de l’appli.
Jamie Akhtar, PDG de la société de cybersécurité CyberSmart, déclare : « En offrant un outil qui pourrait potentiellement “défiltrer” l’effet [du corps invisible], les acteurs malveillants comptent sur la curiosité, la peur et même la méchanceté des gens pour qu’ils le téléchargent. Bien entendu, ils apprennent alors que les affirmations des attaquants sont fausses et que le maliciel est installé. »