TikTok exploitait une faille d’Android pour suivre ses utilisateurs

Nicolas Furno |

L’app TikTok est dans le viseur du gouvernement américain qui espère l’interdire suite à des suspicions d’espionnage en faveur de la Chine. Ces soupçons ne reposent pas sur des preuves formelles et on sait que l’app ne fait pas aujourd’hui pire que la moyenne des réseaux sociaux, mais le Wall Street Journal révèle que cela n’a pas toujours été le cas.

Jusqu’en novembre 2019, la version pour Android collectait les adresses MAC de ses utilisateurs, une pratique interdite par Google et en théorie impossible. TikTok exploitait une faille de sécurité dans Android pour accéder à cette information normalement cachée. L’adresse MAC est un identifiant unique associé « en dur » à chaque matériel et qui ne change jamais, ce qui en fait un excellent outil de suivi des utilisateurs. C’est pour cette raison que les apps ne sont pas censées pouvoir accéder à cette adresse.

L’app TikTok sur Android (image iGeneration).

Interrogés par le journal, les créateurs de TikTok ont indiqué que l’app ne collectait plus les adresses MAC de ses utilisateurs. Ce qui est vrai depuis une mise à jour publiée sur Google Play le 18 novembre 2019, d’après le Wall Street Journal. La version iOS de l’app a été a priori épargnée.

Cette collecte d’une information privée en utilisant une faille dans la sécurité d’Android n’est pas un bon signe pour TikTok et cela donnera assurément des armes à ses détracteurs. Il ne faut pas perdre de vue toutefois que ce n’est pas un cas exceptionnel. D’autres apps ont profité de la faille sur Android et le quotidien cite une étude qui en recense près de 350 connues.

Même sur iOS, des apps mettent tout en œuvre pour contourner les limites imposées par Apple et masquer leurs pratiques lors de la phase de validation de l’App Store. Ce n’est pas une raison pour excuser TikTok, plutôt un rappel que c’est, hélas, une pratique commune.

avatar ValentBay | 

Une liste des applications moins bonnes élèves sur la confidentialité existe-t-elle ?

avatar 406 | 

Ne collecte plus, ok mais à t elle effacé ces données collecté illégalement ?

avatar Adodane | 

Le traçage internet est vraiment la plaie actuelle, c’est aussi le nerf de la guerre, le siphon à millions ... on est allé trop vite à ouvrir les tuyaux à tout va, on a créé un monstre de l’espionnage, de l’évasion fiscale, hors de contrôle ... c’est peut être trop tard ...

avatar romainB84 | 

@Adodane

Le fait que les gens se soient habitués à avoir tout gratuitement sans se poser la question «  mais... comment ki font pour manger et gagner tout plein des sous ces gens ? » doit aider aussi🙂.

avatar Adodane | 

@romainB84

Non on a tout ouvert en grand au lieu d’ouvrir petit à petit, maintenant on veut des barrières.
C’était à nos gouvernements de réguler le marché de l’Internet en le contrôlant.

avatar appleadict | 

@Adodane

d'un autre côté, si on avait laissé faire les acteurs traditionnels, ils auraient reproduit leurs pratiques passées et on aurait commencé par tout fermer, avant d'entrouvrir par petits pas ... l'ouverture aurait été bien plus lente, freinant l'innovation ... il suffit de voir ce qu'était l'authentification pour la déclaration des impots au début du service, avec le certificat à obtenir et conserver ... quelques années plus tard, le process a été simplifié, sous la pression de ce qui se passait ailleurs.

avatar Sanid35 | 

@appleadict

Mdr je l’avais oublié ce fameux certificat que j’avais sur une disquette 🤣

avatar Adodane | 

@appleadict

J’ai jamais parlé d’acteurs traditionnels mais d’un marché régulé, d’un contrôle d’internet.

avatar Derw | 

@Adodane

Si.
Qu’on ai « tout ouvert en grand » sans se poser de question est un problème, mais la culture du gratuit / pas cher est UNE DES causes majeures à l’origine de certains de nos problèmes écologiques (pollutions liées aux déplacements des produits, surproduction…), économiques (perte d’emplois locaux, baisse de qualité…) et techniques (principe de vol de vie privée…).

Le juste prix pour un produit n’est pas le prix le moins cher…

avatar marveyhumus | 

@Derw

Pour le consommateur bien sûr que si le prix le plus juste est le moins cher.

avatar Derw | 

@marveyhumus

Non. Juste pour les consommateurs irréfléchis…
Je suis un consommateur et je n’ai jamais pensé que le moins cher était le mieux (tout du moins pas depuis que je suis adulte). J’ai pourtant été à peine plus qu’un smicard pendant des années…

Mais de plus en plus de consommateurs en prennent conscience, tout au moins pour l’alimentaire…

avatar marveyhumus | 

@Derw

Mouais je sais pas j’ai pas l’impression que Lidl soit en net recul ni IKEA ou autre grande chaîne de distribution discount.

avatar Derw | 

@marveyhumus

Ha mais je n’ai pas dit que la prise de conscience était majoritaire ! Loin de là ! La plus part des gens restent des consommateurs, soit irréfléchis, soit égoïstes. Mais, ce n’est pas pas parce que la majorité a un usage que cet usage est le bon…

avatar Adodane | 

@Derw

On a justement tout gratuit pas cher parceque tout est "ouvert en grand", que le marché n’est pas régulé. N’importe quel acteur à l’autre bout du monde peut faire du commerce chez nous.

avatar cybercooll | 

@Adodane

les gens en ont rien a faire pour la plupart. Il suffit de voir le succès des VPN gratuits.

avatar Adodane | 

@cybercooll

L’utilisation des vpn est très marginale, ce n’est pas parce que les influenceurs sont payés pour en faire la pub que c’est utilisé à grande échelle.
D’ailleurs le business modèle des vpn, c’est le siphonage des données 💁‍♀️

avatar YetOneOtherGit | 

@Adodane

"D’ailleurs le business modèle des vpn, c’est le siphonage des données 💁‍♀️"

Un man-in-the-middle sur abonnement 😂😂😂

avatar MarcMame | 

@Adodane

"C’était à nos gouvernements de réguler le marché de l’Internet en le contrôlant."

Modèle Chinois ou Nord-Coréen ?

avatar Adodane | 

@MarcMame

Modèle Apple !
Tout pour ma pomme 😅

avatar pocketjpaul | 

@romainB84

La triste réalité c’est que tout le monde s’en tamponne complètement. Le sujet est méconnu et la plupart des gens le classent dans une case « inaccessible aux non spécialistes » comme moi je classe la construction de ma maison ou l’entretien de ma voiture : je regarde de loin, je sais que je me fais sûrement avoir un peu, mais j’accepte parce que j’y connais rien.

Le problème c’est que les impacts sociétaires du capitalisme de surveillance sont légèrement plus dangereux et concernent tout le monde.

Et la prise de conscience est tellement difficile. Il faut à chaque fois repartir de zéro dans l’explication du problème (« De toutes façons j’ai rien à cacher ... ») et c’est difficile d’avancer sans braquer ou perdre la personne en chemin.

Le soucis c’est que c’est un peu comme l’écologie : il faut être vraiment fort pour convaincre quelqu’un de s’y intéresser et de lui faire accepter que son mode de pensée n’est pas le bon sans la faire culpabiliser sur ses choix et donc braquer la personne.

Mais l’espoir n’est pas mort : après tout l’écologie est passée ces dernières années de lubie de marginaux à un sujet de société. Même si c’est encore un sujet qu’on aborde très mal c’est au moins devenu un sujet. Idem pour le capitalisme de surveillance : le fait que des boîtes (comme Apple mais pas que) commencent à utiliser comme argument commercial : « vous payez avec votre argent pas avec votre vie privée » est un bon signe que cela va devenir un « sujet ».

avatar romainB84 | 

@pocketjpaul

Je te rejoins sur le fond !
Ça doit passer par l’éducation. Pour reprendre ton exemple sur l’écologie, il suffit de voir à quel point c’est devenu un sujet important à l’école pour s’en convaincre (pour y être confronté quotidiennement, je sais de quoi je parle lol). Peut-être qu’un jour on fera de même avec ce sujet🙂.

avatar marveyhumus | 

@romainB84

Et comment l’école t’explique que l’écologie en produisant toujours plus chaque année n’existe tout simplement pas ? Ah oui c’est vrai elle a mis un prix à la nature pour faire de la croissance verte lol

avatar headoverheel | 

Donc, l’appstore peut être un garde-fou qui protège l’utilisateur. Oulalah, débat relancé.

avatar huexley | 
avatar Lestat1886 | 

Trump aurait-il donc eu raison ? 😅

avatar xDave | 

Fascinant de voir ces acteurs en mode pas vu pas pris et sortir ensuite des excuses bidons pour noyer le poisson de leur cupidité.
Évidemment comme les amendes à leur encontre ne sont que très peu dissuasives et arrivent une fois que la boîte ait assis sa domination du secteur, pourquoi se gêner.

avatar Smoky | 

C’est donc pour éviter ce genre de pistage qu’Apple travaille sur cette fonction de changement régulier d’adresse Mac ?

avatar Sgt. Pepper | 

@Smoky

Non, cette fonction ne concerne pas les Apps.

Mais les fournisseurs de réseaux Wifi « public » qui utilisait l’adresse MAC a mauvais escient (tracking, revente,..)

avatar Bigdidou | 

« Cette collecte d’une information privée en utilisant une faille dans la sécurité d’Android n’est pas un bon signe pour TikTok »

Ni pour Android.
C’est quand même une grosse faille de sécurité, concrètement exploitée au nez et à la barbe de Google...

avatar YetOneOtherGit | 

cela m’avait échappé mais ils se sont payés un top manager pour la filiale US :

https://en.wikipedia.org/wiki/Kevin_A._Mayer

avatar Sgt. Pepper | 

@YetOneOtherGit

Le montant du cheque pour le débaucher de chez Disney devait être indécent 😱

Les ressources de l’état Chinois est décidément sans limite.

avatar YetOneOtherGit | 

@Sgt. Pepper

"Le montant du cheque pour le débaucher de chez Disney devait être indécent"

Ou le montant qu’il touchera en cas d’acquisition par MS 🤑

avatar softjo | 

Google faisait pareil sur ios... Facebook aussi...

avatar marc_os | 

« ... un rappel que c’est, hélas, une pratique commune »

Ah que c'est beau le capitalisme !
(Priorité aux profits, quelque soient les moyens.)

avatar marenostrum | 

tous les apps du genre, gratuits, ne font que ça. comment être rentable autrement ? les chinois copient les américains. ils ont compris comment ça marche pour devenir populaire et s'imposer. d'ailleurs ce qui ne plait pas aux américains.

CONNEXION UTILISATEUR