Publié à l'origine dans la salle de presse de TikTok.

Nous nous réjouissons de l'examen légitime de notre plateforme et savons que pour rester à la pointe des cybermenaces de nouvelle génération, nous devons constamment renforcer sa sécurité et collaborer avec des experts de premier choix pour tester nos défenses. C'est pourquoi nous nous associons à des chefs de file du secteur tels que HackerOne et c'est aussi la raison pour laquelle nous avons créé nos Centres mondiaux de transparence et de responsabilité afin que les gens puissent s'informer sur le code source et sur le fonctionnement de l'algorithme de notre application.

Le 13 février, l'équipe de Malcore d'Internet 2.0, qui se décrit comme une société de cybersécurité américaine et australienne, a publié une analyse du secteur qui est, au mieux, trompeuse et, au pire, grandement erronée et partiale. Selon le rapport, Malcore est un outil d'analyse automatisé conçu pour analyser les fichiers et les programmes, détecter les logiciels malveillants et évaluer les risques. Pourtant, de leur propre aveu, l'équipe Malcore a utilisé l'outil pour effectuer une analyse non concluante qui n'incluait pas un examen détaillé du code source. Leurs résultats contiennent un certain nombre d'inexactitudes qui devraient mettre en doute la validité de leurs conclusions.

En réponse, nous avons demandé à nos propres chercheurs de procéder à une analyse technique des conclusions de Malcore. Voici les résultats de cette analyse ci-dessous :

Nos pratiques en matière de collecte de données

• TikTok ne collecte pas l'IMEI de l'appareil de l'utilisateur, le numéro de série de la carte SIM ou le numéro d'identification de la carte à circuit intégré. La version actuelle de l'application TikTok n'utilise pas les adresses MAC. Nous encourageons les utilisateurs à télécharger la dernière version de l'application, qui comprend d'importantes mises à jour de sécurité.
• TikTok ne collecte pas tous les comptes d'un appareil.
• Dans certaines régions, telles que les États-Unis, l'Australie et la Corée du Sud, les versions actuelles de l'application TikTok ne recueillent pas d'informations GPS précises ou approximatives de la part des utilisateurs. Dans d'autres régions où un utilisateur peut autoriser TikTok à collecter des informations de localisation GPS et que celui-ci choisit de l'autoriser, TikTok collecte des informations de localisation sur la base des données GPS de l'appareil de l'utilisateur.
• Dans certains cas, lorsque les utilisateurs américains utilisent une ancienne version de l'application TikTok qui permettait la collecte d'informations GPS précises ou approximatives (dernière version en août 2020) et qu'ils ont autorisé TikTok à le faire, nous pouvons collecter ces informations. Il est toujours possible d'empêcher son appareil de partager ces informations avec TikTok ou de révoquer l'autorisation accordée précédemment, à tout moment, par le biais des paramètres de l'appareil.
• Nous utilisons les informations de localisation pour nous aider à améliorer l'expérience de l'application et pour les raisons énoncées dans notre Politique de confidentialité, par exemple pour montrer aux utilisateurs des vidéos et du contenu populaires dans leur région et, le cas échéant, des publicités plus pertinentes.
• En outre, les utilisateurs peuvent choisir d'autoriser la plateforme à accéder aux photos, aux listes de contacts ainsi qu'au microphone et à l'appareil photo de l'appareil. Nous détaillons les informations que nous recueillons dans nos politiques de confidentialité et dans notre centre d'aide.

Kits de développement logiciel (SDK)

Un SDK est un ensemble d'outils qui aident les développeurs de logiciels à créer des applications pour une plateforme spécifique. Nous avons mis en place un processus d'évaluation du risque global de sécurité de tout SDK intégré à TikTok. Dans trois cas, l'équipe de Malcore a incorrectement identifié les intégrations SDK. TikTok n'utilise pas les SDK Pangle, Google CrashLytics ou Facebook Analytics. Nous utilisons le reste des SDK cités dans l'analyse de Malcore des manières suivantes :

• Le SDK Facebook Login et le SDK VKontakte (disponible dans seulement 8 pays) sont utilisés pour permettre aux utilisateurs de se connecter à l'aide de leurs identifiants Facebook ou VK. Facebook Share permet aux utilisateurs de partager du contenu de TikTok vers Facebook.
• Facebook Bolts est un SDK à code source libre destiné à aider les ingénieurs à développer des applications mobiles. Appsflyer et Google Firebase Analytics sont des outils de mesure et d'analyse des données.

Notation et pondération

L'équipe de Malcore n'a pas fourni d'explication sur le système de notation qui a donné à TikTok la note la plus élevée (la plus mauvaise), soit 63,1, alors que la norme du secteur est de 34 pour toutes les autres grandes applications de réseaux sociaux et que la note moyenne est de 28,8 pour l'ensemble des 21 applications.

Le rapport dresse une liste arbitraire des notes attribuées pour cinq facteurs : traqueurs/SDK, autorisation dangereuse, avertissement de gravité élevée pour les résultats de l'analyse de code, autorisation suspecte et avertissement de gravité pour les résultats de l'analyse de code. Il n'y a pas d'explication sur le pourquoi et le comment du choix de ces cinq facteurs.

En outre, il n'y a pas d'explication ou de justification externe de la note attribuée à chaque facteur, les traqueurs/SDK se voyant attribuer la note la plus élevée (2,5) par rapport au deuxième facteur (0,25) (10 fois moins) ou au cinquième facteur (50 fois moins). Changer la façon dont une catégorie est évaluée modifierait radicalement les cotes de risque pour TikTok et les autres applications.

Notamment, le rapport lui-même reconnaît que « les traqueurs constituent normalement un kit de développement logiciel (SDK) légitime, conçu pour aider les développeurs à comprendre comment leurs applications sont utilisées, à résoudre les problèmes potentiels et à améliorer leur logiciel. » La pondération asymétrique des SDK ne tient pas compte, par exemple, du fait que certaines entreprises utilisent un SDK principal, ce qui ferait du nombre de SDK un facteur encore moins pertinent pour évaluer le risque. En bref, le système de notation de Malcore est illogique.

Chez TikTok, la confidentialité et la sécurité des personnes qui utilisent notre plateforme font partie de nos plus grandes priorités. Nous prenons au sérieux notre responsabilité en matière de protection de la vie privée et de la sécurité des personnes et consacrons des ressources considérables à la réalisation de cet objectif. Nous prévoyons de continuer à fournir des mises à jour sur nos pratiques dans notre salle de presse, notre centre d'aide et nos politiques de confidentialité.