ByteDance, la société mère chinoise de l'application vidéo populaire TikTok, a déclaré jeudi que certains employés avaient accédé de façon inappropriée aux données des utilisateurs TikTok de deux journalistes et n'étaient plus employés par l'entreprise. Les employés de ByteDance ont accédé aux données dans le cadre d'un effort infructueux pour enquêter sur les fuites d'informations sur l'entreprise plus tôt cette année, et visaient à identifier les liens potentiels entre deux journalistes, un ancien journaliste de BuzzFeed et un journaliste du Financial Times, qui les rattachaient aux employés de l'entreprise, selon un courriel de ByteDance à l'intention de l'avocat général Erich Andersen.À la suite d'une enquête interne, le propriétaire de TikTok, ByteDance, a confirmé des informations relatives à cet automne selon lesquelles certains de ses employés auraient utilisé l'application populaire pour suivre plusieurs journalistes, dont deux aux États-Unis. L'objectif des employés de ByteDance ? Identifier les sources anonymes qui divulguaient des informations aux médias sur les liens de l'entreprise avec le gouvernement chinois, selon le New York Times.
Forbes a rapporté que plusieurs journalistes de sa propre publication faisaient « partie de cette campagne de surveillance secrète ». Une journaliste de Buzzfeed et la journaliste britannique du Financial Times, Cristina Criddle, ont également été surveillées, a rapporté le Financial Times. Les employés de ByteDance auraient accédé aux comptes TikTok des journalistes pour obtenir des données IP et utilisateur, évaluant s'il y avait un chevauchement avec les pings provenant d'emplacements connus des employés de ByteDance soupçonnés de fuite. ByteDance a confirmé que ces tactiques étaient devenues si larges que les employés surveillaient également les données de certains associés des journalistes.
Selon Forbes, ByteDance a licencié Chris Lepitak, l'auditeur interne en chef responsable du département d'audit interne et de contrôle des risques de l'entreprise. ByteDance a confirmé que l'équipe de Lepitak était derrière la campagne de surveillance. En octobre, Forbes a rapporté que Lepitak cherchait également apparemment des informations sur « l'emplacement et les détails du serveur Oracle qui est au cœur des plans de TikTok visant à limiter l'accès étranger aux données personnelles des utilisateurs américains ». Ce serveur est la clef des discussions en cours entre l'administration Biden et TikTok sur les problèmes de sécurité nationale, les États-Unis se méfiant de plus en plus des employés de ByteDance basés en Chine qui accèdent aux données stockées aux États-Unis.
Forbes a eu accès à un e-mail interne à l'intention de l'avocat général de TikTok, Erich Andersen, qui a confirmé que l'équipe de Lepitak « a abusé de son autorité pour obtenir l'accès aux données des utilisateurs de TikTok » dans le suivi des journalistes.
Financial Times a rapporté que quatre employés étaient impliqués et Forbes a rapporté que ByteDance avait licencié deux employés basés aux États-Unis et deux en Chine. La porte-parole de ByteDance, Hilary McQuaide, a fait écho à l'e-mail d'Andersen dans un communiqué disant que « l'inconduite de certaines personnes, qui ne sont plus employées chez ByteDance, était un abus flagrant de leur autorité pour obtenir l'accès aux données des utilisateurs ».
TikTok promet la protection des données
Dans un e-mail séparé adressé aux employés, le directeur général de TikTok, Shou Zi Chew, a déclaré que « l'inconduite des employés n'est pas du tout représentative de ce que je connais des principes de notre entreprise ». Il a déclaré que la société « continuera à améliorer ces protocoles d'accès, qui ont déjà été considérablement améliorés et renforcés depuis que cette initiative a eu lieu ».
Chew a déclaré qu'au cours des 15 derniers mois, la société avait travaillé à la création d'une fonction de sécurité des données, TikTok U.S. Data Security (USDS), pour garantir que les données protégées des utilisateurs américains de TikTok restent aux États-Unis.
« Nous terminons la migration de la gestion des données protégées des utilisateurs américains vers le département USDS et avons systématiquement coupé les points d'accès », a déclaré Chew.
ByteDance a également déclaré qu'il restructurait son département d'audit interne et de contrôle des risques, et que sa fonction d'enquête mondiale serait scindée et restructurée. La société a ajouté qu'elle remanierait le processus d'enquête pour inclure un conseil de surveillance.
Les législateurs américains veulent interdire TikTok sur les appareils du gouvernement
Le Congrès devrait adopter une loi cette semaine pour interdire aux employés du gouvernement américain de télécharger ou d'utiliser TikTok sur leurs appareils appartenant au gouvernement et plus d'une douzaine de gouverneurs ont interdit aux employés de l'État d'utiliser TikTok sur des appareils appartenant à l'État. Le Financial Times a déclaré dans un communiqué « qu'espionner des journalistes, interférer avec leur travail ou intimider leurs sources est totalement inacceptable. Nous allons enquêter plus en détail sur cette histoire avant de décider de notre réponse officielle ».
Tout a commencé par Kristi Noem, la gouverneure du Dakota du Sud, qui a signé plus tôt ce mois-ci le décret 2022-10 : « Nous ne jouerons aucun rôle pour permettre à la Chine de continuer à gagner des renseignements et de l'influence dans notre État », a déclaré Noem sur Twitter. Dans son décret, elle indique que sur le milliard d'utilisateurs mondiaux de TikTok, 135 millions se trouvent aux États-Unis, soit plus d'un tiers de la population du pays, et continue de dire que la société mère de TikTok, la société chinoise ByteDance, a accès aux données des utilisateurs, comme les frappes au clavier, qui peut à son tour être consulté par le gouvernement chinois.
Noem explique en outre dans le document que des interdictions similaires ont déjà été promulguées dans des secteurs gouvernementaux comme l'armée, tout en citant des attitudes de la Commission fédérale des communications qui encouragent également une interdiction plus large de l'application de médias sociaux.
« En raison de notre sérieux devoir de protéger les données privées des citoyens du Dakota du Sud, nous devons prendre cette mesure immédiatement. J'espère que d'autres États suivront l'exemple du Dakota du Sud et que le Congrès devrait également prendre des mesures plus larges », a poursuivi le gouverneur Noem.
Plus récemment, le commissaire de la FCC, Brendan Carr, demandait à Apple et Google de retirer l’application de leurs vitrines de téléchargement après la publication d’un rapport qui affirmait que les employés de ByteDance, basée en Chine, avaient accédé de manière répétée à des données privées d’utilisateurs américains. Le PDG de TikTok, Shou Zi Chew, a tenté de rassurer les sénateurs républicains dans une lettre en affirmant que l’entreprise travaille avec Oracle pour protéger les données de ses utilisateurs « avec une supervision robuste et indépendante ». Il a aussi assuré que TikTok travaille à faire transiter le trafic américain par les serveurs Oracle sur le territoire américain pour pouvoir supprimer les données des utilisateurs américaines de ses propres systèmes (un effort connu en interne sous le nom de Project Texas). Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.
Le projet Texas est la clef d'un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l'accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d'où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu'ils publient, ne seront pas incluses.
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine », a déclaré Adam Segal, directeur du programme de politique numérique et cyberespace au Council on Foreign Relations. Il a déclaré que « le problème serait que les données se retrouvent toujours entre les mains des services de renseignement chinois si les gens en Chine y avaient toujours accès ».
TikTok lui-même a reconnu son problème d'accès dans un billet de blog de 2020. « Notre objectif est de minimiser l'accès aux données entre les régions afin que, par exemple, les employés de la région APAC, y compris la Chine, aient un accès très minimal aux données des utilisateurs de l'UE et des États-Unis », a écrit Roland Cloutier, directeur de la sécurité de l'information de TikTok.
Le projet Texas, une fois terminé, est censé combler cette lacune en ne laissant filtrer qu'une quantité limitée de données. Mais de nombreux enregistrements audio révèlent les défis auxquels les employés ont été confrontés pour trouver et fermer les canaux permettant aux données de circuler des États-Unis vers la Chine.
De son côté, le directeur du FBI, Chris Wray, avait averti les législateurs américains il y a quelques semaines que le gouvernement chinois pouvait utiliser TikTok pour lancer « des opérations d’influence » avec son algorithme de recommandation ou pour « compromettre techniquement » des millions d’appareils. Un porte-parole de TikTok déclarait à Reuters que « les déclarations du FBI sont considérées comme s’inscrivant dans les négociations actuelles avec le gouvernement américain ». Et d’ajouter que TikTok est confiant quant à trouver « un moyen pour satisfaire toutes les demandes raisonnables face à cette crainte pour la sécurité nationale américaine » après un travail avec le Comité pour l’investissement étranger aux États-Unis ces derniers mois.
TikTok indique aux utilisateurs européens que son personnel en Chine ainsi qu'aux États-Unis a accès à leurs données
TikTok explique à ses utilisateurs européens que leurs données peuvent être consultées par des employés en dehors du continent, y compris en Chine, dans un contexte de préoccupations politiques et réglementaires concernant l'accès chinois aux informations des utilisateurs sur la plateforme. L'application de vidéo sociale appartenant à des Chinois met à jour sa politique de confidentialité pour confirmer que le personnel des pays, y compris la Chine, est autorisé à accéder aux données des utilisateurs pour s'assurer que leur expérience de la plateforme est « cohérente, agréable et sûre ».
Les autres pays où les données des utilisateurs européens peuvent être consultées par le personnel de TikTok sont le Brésil, le Canada et Israël ainsi que les États-Unis et Singapour, où les données des utilisateurs européens sont actuellement stockées.
La responsable de la confidentialité de TikTok en Europe, Elaine Fox, a déclaré : « Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sur la base d'un besoin démontré de faire leur travail, sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation robustes, et au moyen de méthodes reconnues par le RGPD, nous permettons à certains employés de notre groupe d'entreprises situé au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis d'accéder à distance aux données des utilisateurs européens de TikTok ».
Les données pourraient être utilisées pour effectuer des vérifications sur certains aspects de la plateforme, y compris les performances de ses algorithmes, qui recommandent du contenu aux utilisateurs et détectent les comptes automatisés vexatoires. TikTok a précédemment reconnu que certaines données des utilisateurs sont consultées par les employés de la société mère, ByteDance, en Chine.
Source : courriel de ByteDance à l'intention de l'avocat général Erich Andersen
Et vous ?
Êtes-vous surpris ou vous doutiez-vous que l'application avait déjà été utilisée pour espionner les emplacements physiques ? Qu'en pensez-vous ? Que pensez-vous de la réaction de ByteDance ? Des législateurs américains ?Voir aussi :
Les législateurs américains veulent interdire TikTok sur les appareils du gouvernement afin que la Chine ne puisse l'utiliser pour la censure et l'espionnage