ByteDance a confirmé que certains de ses employés ont utilisé TikTok pour surveiller l'emplacement physique de journalistes

Afin d'identifier les sources qui leur divulguaient des informations

ByteDance a confirmé que certains de ses employés ont utilisé TikTok pour surveiller l'emplacement physique de journalistes,
afin d'identifier les sources qui leur divulguaient des informations

ByteDance, la société mère chinoise de l'application vidéo populaire TikTok, a déclaré jeudi que certains employés avaient accédé de façon inappropriée aux données des utilisateurs TikTok de deux journalistes et n'étaient plus employés par l'entreprise. Les employés de ByteDance ont accédé aux données dans le cadre d'un effort infructueux pour enquêter sur les fuites d'informations sur l'entreprise plus tôt cette année, et visaient à identifier les liens potentiels entre deux journalistes, un ancien journaliste de BuzzFeed et un journaliste du Financial Times, qui les rattachaient aux employés de l'entreprise, selon un courriel de ByteDance à l'intention de l'avocat général Erich Andersen.

À la suite d'une enquête interne, le propriétaire de TikTok, ByteDance, a confirmé des informations relatives à cet automne selon lesquelles certains de ses employés auraient utilisé l'application populaire pour suivre plusieurs journalistes, dont deux aux États-Unis. L'objectif des employés de ByteDance ? Identifier les sources anonymes qui divulguaient des informations aux médias sur les liens de l'entreprise avec le gouvernement chinois, selon le New York Times.

Forbes a rapporté que plusieurs journalistes de sa propre publication faisaient « partie de cette campagne de surveillance secrète ». Une journaliste de Buzzfeed et la journaliste britannique du Financial Times, Cristina Criddle, ont également été surveillées, a rapporté le Financial Times. Les employés de ByteDance auraient accédé aux comptes TikTok des journalistes pour obtenir des données IP et utilisateur, évaluant s'il y avait un chevauchement avec les pings provenant d'emplacements connus des employés de ByteDance soupçonnés de fuite. ByteDance a confirmé que ces tactiques étaient devenues si larges que les employés surveillaient également les données de certains associés des journalistes.

Selon Forbes, ByteDance a licencié Chris Lepitak, l'auditeur interne en chef responsable du département d'audit interne et de contrôle des risques de l'entreprise. ByteDance a confirmé que l'équipe de Lepitak était derrière la campagne de surveillance. En octobre, Forbes a rapporté que Lepitak cherchait également apparemment des informations sur « l'emplacement et les détails du serveur Oracle qui est au cœur des plans de TikTok visant à limiter l'accès étranger aux données personnelles des utilisateurs américains ». Ce serveur est la clef des discussions en cours entre l'administration Biden et TikTok sur les problèmes de sécurité nationale, les États-Unis se méfiant de plus en plus des employés de ByteDance basés en Chine qui accèdent aux données stockées aux États-Unis.

Forbes a eu accès à un e-mail interne à l'intention de l'avocat général de TikTok, Erich Andersen, qui a confirmé que l'équipe de Lepitak « a abusé de son autorité pour obtenir l'accès aux données des utilisateurs de TikTok » dans le suivi des journalistes.

Financial Times a rapporté que quatre employés étaient impliqués et Forbes a rapporté que ByteDance avait licencié deux employés basés aux États-Unis et deux en Chine. La porte-parole de ByteDance, Hilary McQuaide, a fait écho à l'e-mail d'Andersen dans un communiqué disant que « l'inconduite de certaines personnes, qui ne sont plus employées chez ByteDance, était un abus flagrant de leur autorité pour obtenir l'accès aux données des utilisateurs ».


TikTok promet la protection des données

Dans un e-mail séparé adressé aux employés, le directeur général de TikTok, Shou Zi Chew, a déclaré que « l'inconduite des employés n'est pas du tout représentative de ce que je connais des principes de notre entreprise ». Il a déclaré que la société « continuera à améliorer ces protocoles d'accès, qui ont déjà été considérablement améliorés et renforcés depuis que cette initiative a eu lieu ».

Chew a déclaré qu'au cours des 15 derniers mois, la société avait travaillé à la création d'une fonction de sécurité des données, TikTok U.S. Data Security (USDS), pour garantir que les données protégées des utilisateurs américains de TikTok restent aux États-Unis.

« Nous terminons la migration de la gestion des données protégées des utilisateurs américains vers le département USDS et avons systématiquement coupé les points d'accès », a déclaré Chew.

ByteDance a également déclaré qu'il restructurait son département d'audit interne et de contrôle des risques, et que sa fonction d'enquête mondiale serait scindée et restructurée. La société a ajouté qu'elle remanierait le processus d'enquête pour inclure un conseil de surveillance.

Les législateurs américains veulent interdire TikTok sur les appareils du gouvernement

Le Congrès devrait adopter une loi cette semaine pour interdire aux employés du gouvernement américain de télécharger ou d'utiliser TikTok sur leurs appareils appartenant au gouvernement et plus d'une douzaine de gouverneurs ont interdit aux employés de l'État d'utiliser TikTok sur des appareils appartenant à l'État. Le Financial Times a déclaré dans un communiqué « qu'espionner des journalistes, interférer avec leur travail ou intimider leurs sources est totalement inacceptable. Nous allons enquêter plus en détail sur cette histoire avant de décider de notre réponse officielle ».

Tout a commencé par Kristi Noem, la gouverneure du Dakota du Sud, qui a signé plus tôt ce mois-ci le décret 2022-10 : « Nous ne jouerons aucun rôle pour permettre à la Chine de continuer à gagner des renseignements et de l'influence dans notre État », a déclaré Noem sur Twitter. Dans son décret, elle indique que sur le milliard d'utilisateurs mondiaux de TikTok, 135 millions se trouvent aux États-Unis, soit plus d'un tiers de la population du pays, et continue de dire que la société mère de TikTok, la société chinoise ByteDance, a accès aux données des utilisateurs, comme les frappes au clavier, qui peut à son tour être consulté par le gouvernement chinois.


Noem explique en outre dans le document que des interdictions similaires ont déjà été promulguées dans des secteurs gouvernementaux comme l'armée, tout en citant des attitudes de la Commission fédérale des communications qui encouragent également une interdiction plus large de l'application de médias sociaux.

« En raison de notre sérieux devoir de protéger les données privées des citoyens du Dakota du Sud, nous devons prendre cette mesure immédiatement. J'espère que d'autres États suivront l'exemple du Dakota du Sud et que le Congrès devrait également prendre des mesures plus larges », a poursuivi le gouverneur Noem.

Plus récemment, le commissaire de la FCC, Brendan Carr, demandait à Apple et Google de retirer l’application de leurs vitrines de téléchargement après la publication d’un rapport qui affirmait que les employés de ByteDance, basée en Chine, avaient accédé de manière répétée à des données privées d’utilisateurs américains. Le PDG de TikTok, Shou Zi Chew, a tenté de rassurer les sénateurs républicains dans une lettre en affirmant que l’entreprise travaille avec Oracle pour protéger les données de ses utilisateurs « avec une supervision robuste et indépendante ». Il a aussi assuré que TikTok travaille à faire transiter le trafic américain par les serveurs Oracle sur le territoire américain pour pouvoir supprimer les données des utilisateurs américaines de ses propres systèmes (un effort connu en interne sous le nom de Project Texas). Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.

Le projet Texas est la clef d'un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l'accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d'où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu'ils publient, ne seront pas incluses.

« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine », a déclaré Adam Segal, directeur du programme de politique numérique et cyberespace au Council on Foreign Relations. Il a déclaré que « le problème serait que les données se retrouvent toujours entre les mains des services de renseignement chinois si les gens en Chine y avaient toujours accès ».

TikTok lui-même a reconnu son problème d'accès dans un billet de blog de 2020. « Notre objectif est de minimiser l'accès aux données entre les régions afin que, par exemple, les employés de la région APAC, y compris la Chine, aient un accès très minimal aux données des utilisateurs de l'UE et des États-Unis ...