TikTok et menace cyber : mieux comprendre les enjeux et limiter les risques
Avec 1,7 milliards d'utilisateurs actifs en 2022, TikTok est aujourd'hui l'application de médias sociaux la plus populaire au monde. Editée par la société chinoise ByteDance, elle attire principalement les jeunes générations, avec 63% de ses utilisateurs ayant moins de 24 ans, grâce à son format de vidéos courtes, à la fois distrayant et particulièrement addictif. Néanmoins, avec une frontière de plus en plus ténue entre les usages personnels et professionnels des équipements mobiles, les problèmes de cybersécurité liés à ce puissant réseau social suscitent un nombre croissant de préoccupations à travers le monde, principalement auprès des gouvernements occidentaux. Les entreprises et les organisations doivent être conscientes des risques associés à l'utilisation de TikTok sur les appareils professionnels de leurs collaborateurs et des conséquences possibles, notamment en termes de violation de la confidentialité des données, d'exposition à des logiciels malveillants, de perte de données et de réputation, ainsi que de non-conformité aux réglementations en matière de protection des données.
- TikTok : une application qui exfiltre des données en masse ?
- Utilisation de TikTok dans un cadre professionnel : quels risques pour les entreprises et les organisations ?
- Vers une interdiction globale de TikTok à l’échelle internationale ?
- Dans l’entreprise et les organisations : interdire l’utilisation de l’application ou limiter les risques ?
TikTok : une application qui exfiltre des données en masse ?
Plusieurs enquêtes menées par des experts en cybersécurité ont révélé que TikTok exfiltrerait en masse des données personnelles, parmi lesquelles on retrouverait l’historique de navigation et d’appels des utilisateurs, leurs contacts, leurs messages, leurs coordonnées GPS ou encore les informations de connexion aux réseaux WiFi. Si ces données seraient essentiellement collectées « in-app », d’autres seraient loggées en dehors de l’application, comme les sites web visités depuis le navigateur interne de TikTok ainsi que les mots clés saisis sur ces pages.
Toutes ces données, collectées à l’insu des utilisateurs et sans leur consentement immédiat, transiteraient ensuite sur les serveurs du réseau social chinois, aux Etats-Unis et à Singapour, rendues accessibles aux collaborateurs de ByteDance. Notons que ce transfert de données, bien qu’il soit difficile à vérifier dans un espace digital toujours plus vaste, est illégal, puisqu’il va à l’encontre du droit européen en matière de gestion des données personnelles (RGPD).
Qualifiée de « Leakware » par la société Pradeo, TikTok utiliserait également l’intelligence artificielle pour collecter des données supplémentaires à partir de vidéos et d’autres contenus que les utilisateurs téléchargent sur la plateforme, y compris des données biométriques telles que les visages, les empreintes vocales et les expressions faciales. Cette information a d’ailleurs été confirmée par TikTok lui-même, dès l’été 2021, à travers un changement de sa politique de confidentialité pour le marché américain, afin d’éviter une interdiction pure et simple de son service sur le territoire.
Utilisation de TikTok dans un cadre professionnel : quels risques pour les entreprises et les organisations ?
L’utilisation de TikTok par des collaborateurs, dans un cadre professionnel, expose les entreprises et les organisations à un certain nombres de risques plus ou moins graves, allant du vol de données plus ou moins sensibles, au traçage des employés ou à l’espionnage industriel…
Les données collectées par l’application peuvent inclure des informations sensibles sur l’entreprise, telles que des éléments de connexion (login et mots de passes), mais également des informations financières, des plans d’actions stratégiques ou encore des données liées à la propriété intellectuelle ou aux clients de l’organisation… Autant de sources d’information qui pourraient faire l’objet d’une exploitation frauduleuse de la part de hackeurs ou de spécialistes en intelligence économique, qu’ils soient privés ou d’état, principalement chinois.
L’utilisation de TikTok sur des appareils professionnels peut également constituer une porte d’entrée pour les attaques par phishing ou par ransomware. Les cyberattaquants peuvent en effet collecter et recouper des données personnelles issues des comptes TikTok de certains employés afin de développer des stratégies d’ingénierie sociale sophistiquées, leur permettant de créer des attaques de phishing plus ciblées et donc sensiblement plus efficaces, ce qui augmente considérablement les risques de vol de données et de demandes de rançons associées. Parmi les vecteurs préférés des escrocs en ligne, on retrouve les arnaques aux cryptomonnaies, les faux profils de célébrités ou le téléchargement « gratuit » d’applications tierces (embarquant des logiciels malveillants de toutes sortes : virus, spyware, adware ou trojan…).
Dernier exemple de risques inhérents à l’utilisation de cette application en environnement professionnel : la possibilité d’un traçage des collaborateurs par l’exploitation de leurs données de géolocalisation mobiles. Il serait dès lors relativement aisé pour un analyste lambda d’interpréter économiquement les déplacements répétés d’un chef d’entreprise chez un prospect grand compte stratégique, en pleine phase d’appel d’offres…
Vers une interdiction globale de TikTok à l’échelle internationale ?
Comme nous l’avons vu, les risques cyber associés à son utilisation sont réels, mais c’est surtout la proximité de la maison mère ByteDance avec les autorités chinoises qui a provoqué, depuis le début de l’année, une vague de restrictions de l’application à l’initiative de nombreux gouvernements, en occident mais pas seulement.
Au sein de l’Union Européenne, on peut notamment citer le bannissement de TikTok sur les appareils professionnels des fonctionnaires belges, danois et norvégiens, des députés tchèques, des militaires suédois ou des ministres du Royaume-Uni, avec comme argument récurrent des préoccupations liées à la sécurité nationale. En France, c’est le ministre délégué chargé de la transition numérique et des télécommunications, Jean-Noël Barrot, qui affirme fin mars 2023 que « les applications récréatives comme TikTok sont désormais interdites, avec effet immédiat, sur tous les téléphones que l’État fournit aux agents publics. », mettant également en avant « la cybersécurité de nos administrations et de nos services publics ».
Ailleurs dans le monde, l’application est déjà bannie depuis début 2023 pour les fonctionnaires au Canada et les agents fédéraux aux Etats-Unis. Pionnière en la matière, l’Inde a interdit TikTok dans tout le pays, dès l’été 2020, pour raisons diplomatiques, provoquant une vague de protestation de la jeunesse indienne auprès de qui l’application était largement populaire. Une application remplacée depuis par des initiatives locales…
Dans l’entreprise et les organisations : interdire l’utilisation de l’application ou limiter les risques ?
Il faut distinguer deux types d’usage à risque : l’utilisation de l’application sur un équipement personnel, mais qui servirait également à des usages professionnels, d’une part, et l’utilisation de l’application sur un équipement professionnel, d’autre part. Si dans le premier cas, l’employeur n’a d’autre possibilité que d’interdire au salarié d’utiliser son téléphone personnel à des fins professionnels, dans le second cas, il dispose d’une certaine latitude pour empêcher le salarié d’utiliser son équipement professionnel à des fins personnelles ou, tout au moins, en modérer l’usage.
Voici 5 mesures de protection que les entreprises et les organisations doivent considérer, au cas par cas, afin de réduire les risques liés à l’utilisation de TikTok sur les équipements professionnels :
- Sensibiliser les employés : comme pour toutes questions relatives aux cybermenaces, le premier réflex consiste à sensibiliser les collaborateurs, afin qu’ils comprennent les risques associés à l’utilisation de TikTok, notamment en matière de sécurité des données, de propriété intellectuelle et de confidentialité. Les employés doivent être formés afin d’adopter intuitivement les bonnes pratiques, savoir reconnaître les menaces potentielles et être en mesure de réagir efficacement en cas d’incident de sécurité.
- Clarifier la politique d’utilisation : dans le cadre de l’élaboration de leur PSSI (Politique de Sécurité des Systèmes d’Information), les organisations doivent définir une politique claire d’utilisation des réseaux sociaux en général et de TikTok en particulier. Cette politique doit préciser ce qui est autorisé ou interdit, comment les employés doivent gérer les informations confidentielles et différencier les comportements acceptables des comportements prohibés sur la plateforme.
- Restreindre l’accès aux personnes concernées : l’accès à TikTok devrait être limité aux seuls employés dont l’utilisation est justifiée par leur mission (certaines fonctions marketing et/ou associées à la promotion de la marque sur les réseaux, comme les brand managers ou les community managers) et bloqué pour tous les autres. Cette gestion des autorisations ne devrait pas être limitée aux seuls terminaux mobiles, mais étendue à tout matériel connecté à internet.
- Imposer l’utilisation de VPN : les organisations peuvent utiliser un réseau privé virtuel (VPN) pour protéger les données et empêcher les cybercriminels d’accéder aux informations sensibles qui pourraient transiter par l’application. Les VPN permettent de crypter les données et de masquer l’adresse IP de l’utilisateur, ce qui rend plus complexe l’accès aux informations sensibles. Dans le cadre de la PSSI, l’utilisation d’un VPN peut-être rendue obligatoire pour accéder à des applications ou à des données sensibles à partir de réseaux publics.
- Déployer des solutions de contrôle des données exploitées par l’application et de blocage des cybermenaces : la mise en place de ce type d’outils sur la flotte mobile des collaborateurs permet de limiter les risques de fuites et d’exploitation malveillante de données sensibles. A titre d’exemple, Pradeo propose une solution de protection de flotte d’équipements mobiles, qu’ils appartiennent à l’entreprise ou qu’ils soient personnels mais utilisés par l’employé dans un cadre professionnel (BYOD : « Bring Your Own Device »).
Bien qu’il soit sous les feux des projecteurs depuis plusieurs mois, TikTok n’est pas le seul réseau social dont l’usage présente des risques cyber connus. Au niveau du recours à des trackers (par lesquels transitent certaines informations personnelles sensibles des utilisateurs), d’autres grandes entreprises de la tech, comme Microsoft, Google ou Meta, ne sont pas en reste. Les porte-parole de la société ByteDance et certains dignitaires chinois ne manquent d’ailleurs pas de dénoncer une campagne de dénigrement ciblé de la part des occidentaux, USA en tête, visant à favoriser les sociétés américaines.
Afin de garantir la sécurité des données sensibles de l’entreprise et prévenir les incidents, il est crucial de mettre en place des mesures de sécurité robustes. Cela implique d’établir des politiques claires, qui peuvent aller jusqu’à l’interdiction pure et simple de l’accès à TikTok sur les terminaux mobiles professionnels. Aucune mesure coercitive et aucun outil, aussi performant soit-il, ne pouvant écarter le facteur humain, il est essentiel de sensibiliser les collaborateurs aux risques encourus. Des formations régulières sur les bonnes pratiques en cybersécurité, permettant notamment l’identification des attaques de phishing et la protection des données sensibles, sont également essentielles.
Centre de formation, Sysdream, forme et sensibilise chaque année plus de 1600 professionnels aux risques cyber. Nos intervenants salariés sont tous des experts dans le domaine de la sécurité, ils partagent leur activité entre la formation, le pentest et la recherche. Consultez notre catalogue de formation : « Catalogue de formations en sécurité informatique«