L’app TikTok est dans le viseur du gouvernement américain qui espère l’interdire suite à des suspicions d’espionnage en faveur de la Chine. Ces soupçons ne reposent pas sur des preuves formelles et on sait que l’app ne fait pas aujourd’hui pire que la moyenne des réseaux sociaux, mais le Wall Street Journal révèle que cela n’a pas toujours été le cas.

Jusqu’en novembre 2019, la version pour Android collectait les adresses MAC de ses utilisateurs, une pratique interdite par Google et en théorie impossible. TikTok exploitait une faille de sécurité dans Android pour accéder à cette information normalement cachée. L’adresse MAC est un identifiant unique associé « en dur » à chaque matériel et qui ne change jamais, ce qui en fait un excellent outil de suivi des utilisateurs. C’est pour cette raison que les apps ne sont pas censées pouvoir accéder à cette adresse.

Interrogés par le journal, les créateurs de TikTok ont indiqué que l’app ne collectait plus les adresses MAC de ses utilisateurs. Ce qui est vrai depuis une mise à jour publiée sur Google Play le 18 novembre 2019, d’après le Wall Street Journal. La version iOS de l’app a été a priori épargnée.

Cette collecte d’une information privée en utilisant une faille dans la sécurité d’Android n’est pas un bon signe pour TikTok et cela donnera assurément des armes à ses détracteurs. Il ne faut pas perdre de vue toutefois que ce n’est pas un cas exceptionnel. D’autres apps ont profité de la faille sur Android et le quotidien cite une étude qui en recense près de 350 connues.

Même sur iOS, des apps mettent tout en œuvre pour contourner les limites imposées par Apple et masquer leurs pratiques lors de la phase de validation de l’App Store. Ce n’est pas une raison pour excuser TikTok, plutôt un rappel que c’est, hélas, une pratique commune.