L’ANSSI tchèque qualifie TikTok de « menace pour la cybersécurité »

Elle déconseille aux personnes d'intérêt dont les données « pourraient être ciblées par les activités des services de renseignement étrangers » de l'installer et de l'utiliser, et recommande d'interdire TikTok « sur les dispositifs ayant accès à un système réglementé ».

La Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB, l'Office tchèque de la cybersécurité et de la sécurité de l'information, l'équivalent de l'ANSSI) vient de rendre publique une alerte qualifiant de « menace pour la cybersécurité » le fait d'installer et d'utiliser TikTok « sur des appareils donnant accès à des systèmes d'infrastructure d'information et de communication critiques, à des systèmes d'information et de communication de services essentiels et à des systèmes d'information importants » : 

« L'office s'inquiète des menaces potentielles pour la sécurité découlant de l'utilisation de TikTok, principalement en raison de la quantité de données d'utilisateur collectées par l'application et de la manière dont ces données sont traitées. »

La NÚKIB précise avoir émis cet avertissement « sur la base de ses propres constatations et des informations fournies par ses partenaires », et qualifie la menace d' « "élevée", c'est-à-dire probable à très probable » : 

« Le NÚKIB recommande d'interdire l'installation et l'utilisation de TikTok sur les dispositifs ayant accès à un système réglementé (dispositifs d'entreprise et dispositifs personnels utilisés à des fins professionnelles), car c'est le meilleur moyen d'éliminer ou de minimiser la menace. »

L'office encourage également le public à « reconsidérer l'utilisation de TikTok » ainsi que les quantités et les types de données qu'il partage via l'application, et déconseille son utilisation aux « personnes d'intérêt » qui occupent des postes politiques, publics ou décisionnels de haut niveau, et dont les données « pourraient être ciblées par les activités des services de renseignement étrangers ». 

« La quantité de données collectées et traitées, combinée à l'environnement juridique en Chine et au nombre croissant d'utilisateurs en République tchèque, ne nous laisse pas d'autre choix que de décrire TikTok comme une menace pour la sécurité », a déclaré Lukáš Kintr, directeur de la NÚKIB : 

« L'avertissement ne fait pas de distinction entre les utilisateurs du secteur public et ceux du secteur privé. La question essentielle est de savoir si une menace pesant sur un système particulier peut nuire au fonctionnement de la République tchèque et à la sécurité de chacun d'entre nous. »

Dans son alerte, la NÚKIB explique que « la cybersécurité ne consiste pas seulement à évaluer les aspects techniques des technologies utilisées » : 

« Lors de la sélection des outils techniques et logiciels utilisés pour assurer le bon fonctionnement des systèmes d'information et de communication et de leurs fournisseurs, il est nécessaire de prendre en compte les aspects non techniques de la sécurité de la technologie, c'est-à-dire d'évaluer la crédibilité des fournisseurs et des sous-traitants (fabricants) de la technologie. »

De plus, la confiance dans le fournisseur doit dès lors être présente « à la fois au niveau de la forme finale » et technique de la solution fournie, mais également « au niveau stratégique », et donc prendre en compte l'environnement commercial, juridique et politique dans lequel le fournisseur opère.

Or, « le niveau de crédibilité de l'environnement juridique de certains pays a un impact direct sur la crédibilité des entreprises qui y ont leur siège et qui sont soumises à cet environnement juridique », précise la NÚKIB : « il n'est pas exclu que les entreprises concernées soient contraintes par l'État de faire passer les intérêts de cet État avant ceux de leurs clients ».

ByteDance, la société mère de TikTok, étant une entité soumise à la législation nationale chinoise, la collecte de données à grande échelle que lui permet TikTok « est préoccupante en raison de l'environnement juridique et politique de la République populaire de Chine (RPC) », estime la NÚKIB.

Un empilement de loi au service du Parti communiste chinois

La loi sur la sécurité de l'État de 2015 impose en effet « une obligation générale à tous les citoyens et organisations chinois » de fournir une assistance aux autorités de l'État en matière de sécurité de l'État. 

La loi de 2017 sur les activités de renseignement de l'État dispose dans son article 7 que les citoyens et organisations chinoises « doivent soutenir les activités de renseignement national, coopérer et collaborer, et maintenir la confidentialité des informations classifiées dont ils ont connaissance dans le cadre des activités de renseignement national ». 

La loi de 2014 sur les activités de contre-espionnage de l'État impose pour sa part « une obligation de coopération et d'information aux clients étrangers des entreprises chinoises » qui sont soupçonnés d'activités d'espionnage par les autorités de l'État : 

« Selon l'article 6, cette loi est également applicable aux institutions, organisations et individus qui organisent ou financent des activités d'espionnage contre la République populaire de Chine ("RPC") en dehors de son territoire, avec un large éventail d'activités qui peuvent être définies comme de l'espionnage par les autorités chinoises. Tout cela sans possibilité de contrôle judiciaire indépendant. »

La loi sur les sociétés de 2013 permet de son côté au Parti communiste chinois (PCC) d' « influencer efficacement le fonctionnement des entreprises privées ». Selon l'article 19, une organisation du PCC « doit être établie dans la société pour mener à bien les activités du PCC conformément à sa Constitution ».

Selon les règles de 2021 relatives au signalement des vulnérabilités dans les dispositifs de réseau, les fabricants de technologies sont par ailleurs « tenus de signaler les failles de sécurité » au ministère chinois de l'Industrie et des technologies de l'information (MIIT) « au plus tard deux jours après leur découverte ». 

Or, relève la NÚKIB, le MIIT signale dans la foulée ces découvertes au ministère de la Sécurité de l'État de la RPC et aux autres autorités compétentes. Et ce, alors qu'il est par ailleurs interdit de divulguer ces failles au public ou de les signaler à des organisations et des personnes étrangères : 

« Ce qui précède fait donc craindre que les intérêts de la RPC ne soient placés au-dessus des intérêts des utilisateurs de technologies des entreprises soumises à l'environnement juridique de la RPC. »

Une menace complexe croissante en matière de renseignement

La NÚKIB relève en outre que selon le rapport annuel 2021 du service d'information sur la sécurité de la République tchèque (BIS), la RPC « représente une menace complexe croissante en matière de renseignement » : 

« Selon ce rapport, les services de renseignement chinois mènent des opérations d'influence pour le compte de la RPC contre les intérêts de la République tchèque et leurs activités se déroulent à un niveau élevé sur notre territoire. »

Pour le BIS, « le niveau élevé d'activité des acteurs chinois dans le domaine des cyber-attaques » ciblant la République tchèque et d'autres membres de l'Union européenne et de l'Organisation du traité de l'Atlantique Nord « ne peut être ignoré ».

Et ce, d'autant que les informations recueillies montrent que TikTok « collecte un nombre excessif de données sur les utilisateurs », dont : 

• le contenu des communications privées, stocké sur les serveurs de ByteDance,
• la vérification périodique de l'emplacement des appareils,
• l'accès aux contacts sur l'appareil,
• les informations sur l'appareil, y compris le SSID Wi-Fi, la configuration Wi-Fi précédente,
• le numéro de série de l'appareil et de la carte SIM, l'ID de l'appareil, l'IMEI de l'appareil, l'adresse MAC de l'appareil, le numéro de téléphone, etc, le numéro de série de l'appareil et de la carte SIM, le deviceID, l'IMEI de l'appareil, l'adresse MAC de l'appareil, le numéro de téléphone, la liste de tous les comptes d'utilisateur utilisés sur l'appareil et l'accès complet au presse-papiers,
• l'accès permanent au calendrier pour le lire et le modifier,
• le navigateur natif imposé permet en outre de « surveiller la quasi-totalité de l'activité de l'utilisateur (p. ex. par exemple, les frappes sur l'écran) ».

Ces données peuvent être utilisées pour faire chanter des VIP

TikTok n'est certes pas le seul réseau social à collecter de telles données, mais l'étendue des obligations légales qui s'impose à ByteDance d'une part, associée aux menaces en termes de cyberespionnage que pose la Chine d'autre part, incite la NÚKIB à estimer que « la quantité de données et la manière dont elles sont collectées peuvent servir à cibler des cyber-attaques sur des individus spécifiques, augmentant ainsi le risque de réussite (par exemple, par le biais du spear phishing) » : 

« Dans le même temps, ces données peuvent être utilisées pour faire chanter des personnes d'intérêt et ainsi porter atteinte à la sécurité ou aux intérêts stratégiques de la République tchèque. »

La NÚKIB relève également que ByteDance a elle-même déclaré publiquement que « bien que les données des utilisateurs européens soient stockées aux États-Unis et à Singapour, certaines entités basées au Brésil, en RPC, en Malaisie, à Singapour, aux États-Unis et aux Philippines y ont accès à distance ».

L'office tchèque s'inquiète également du fait que Douyin, la version modifiée de l'application TikTok destinée au marché chinois, « permet de télécharger et d'installer du code à l'insu de l'utilisateur » : 

« Cela présente un risque de téléchargement et d'installation de codes malveillants qui peuvent compromettre l'appareil et, par conséquent, le système réglementé auquel l'appareil a accès. Il n'est pas exclu qu'une fonctionnalité similaire soit intégrée à la version internationale de l'application TikTok à l'avenir. »

La NÚKIB rapporte au surplus que « des analyses techniques de sources ouvertes ainsi que d'autres informations indiquent que les employés de ByteDance en RPC traitent et accèdent de manière problématique aux données des utilisateurs, malgré les déclarations répétées de ses représentants à ce sujet ». L'office ne fournit pas, cependant, de liens vers ces « sources ouvertes », son alerte ne comportant d'ailleurs aucun lien externe.

L'office estime que le niveau de menace « est principalement dû à la combinaison du grand nombre d'utilisateurs de TikTok en République tchèque, aux spécificités techniques de l'application qui collecte une quantité excessive d'informations et de données sensibles et hautement exploitables sur ses utilisateurs, et à l'environnement juridique dans lequel ByteDance opère et est tenu de le faire ».

Et ce, précise la NÚKIB, alors que « nous ne pouvons pas ignorer le fait que la nature problématique de l'application a été soulignée depuis longtemps par les partenaires nationaux et internationaux, et que de nombreux États membres et institutions de l'UE ont déjà pris des mesures préventives à son encontre » : 

« Dans l'ensemble, les faits susmentionnés suscitent une inquiétude raisonnable quant aux risques potentiels pour la sécurité découlant de l'installation et de l'utilisation de l'application TikTok sur des appareils accédant à des systèmes d'information et de communication d'infrastructures d'information critiques, de systèmes d'information de services essentiels et de systèmes d'information importants. »

La décision d'utilisation appartient à chacun

Dans un jeu de questions/réponses, publié dans la version tchèque de son communiqué, la NÚKIB précise que ses avertissements visent à « attirer l'attention sur l'existence d'une menace dans le domaine de la cybersécurité, à laquelle il faut répondre immédiatement », mais également qu'un avertissement « ne signifie donc pas une interdiction inconditionnelle de l'utilisation des ressources techniques et logicielles données » : 

« Le fait que NÚKIB ait émis un avertissement signifie que la menace n'est pas négligeable et atteint un certain niveau et qu'il existe suffisamment de preuves pour qu'un avertissement soit émis. »

L'office, qui « surveille et évalue les risques de sécurité associés à l'application TikTok depuis longtemps », a décidé de lancer l'alerte « car la technologie est très répandue et sa diffusion s'amplifie ».

Évoquant le fait que les autres plateformes sociales du même type pourraient, elles aussi, constituer une menace, la NÚKIB rétorque que « dans le cas de TikTok, les menaces sont plus importantes qu'avec la plupart des applications populaires comparables » : 

« En effet, elle collecte une grande quantité de données sur ses utilisateurs (y compris des données très sensibles) dont elle n'a pas immédiatement besoin pour son fonctionnement. De plus, il faut tenir compte de l'environnement juridique chinois, qui impose aux entreprises chinoises, et donc aussi aux opérateurs d'applications telles que TikTok, l'obligation de coopérer et de partager des informations avec l'État, sans garanties juridiques appropriées. »

De plus, les autres plateformes sociales n'enregistrent pas « actuellement » cette combinaison d'un grand nombre d'utilisateurs, d'une collecte « excessive » de données, des spécificités de l'environnement juridique dans lequel l'opérateur de l'application opère, et « en même temps » des services de renseignement cherchant à « influencer les opérations à l'origine de cet environnement », ce qui « fait la différence entre TikTok et les autres applications du même type ».

Évoquant les risques pour les utilisateurs réguliers à continuer d'utiliser TikTok, la NÚKIB conclut son alerte en soulignant que « l'application continuera à collecter une grande quantité de données à leur sujet qui ne sont pas pertinentes pour le fonctionnement de l'application elle-même, mais qui pourraient être utilisées à mauvais escient à l'avenir » : 

« Cependant, la décision d'utilisation appartient à chacun. »