TikTok a exploité une faille d'Android pour collecter l'adresse MAC de ses utilisateurs pendant plus d'un an. Cette adresse sert d'identifiant unique pour chaque utilisateur, ce qui la rend utile à la fois pour le ciblage publicité et pour d'autres formes de tracking potentiellement invasives, révèle le Wall Street Journal.

TikTok est actuellement en plein tourment alors que l'administration Trump est sur le bannir l'application des États-Unis, brandissant l'argument de la sécurité nationale. TikTok est effet accusé d'espionnage au profit de la Chine. Et pour enfoncer le clou, le Wall Street Journal vient de publier un rapport incriminant pour le réseau social. Pendant 18 mois, ce dernier aurait collecté les adresses MAC de millions d'utilisateurs, et ce, en violation de la politique de confidentialité du système d'exploitation.

Depuis 2015, Google interdit aux applications Android du Play Store de collecter des « informations d'identification unique des appareils ». Ces données incluent l'adresse MAC et l'IMEI. En effet, contrairement aux adresses IP, le MAC est un identifiant associé à chaque appareil et qui permet de l’identifier de manière unique sur les réseaux.  Pour éviter les abus, Google attribue aux smartphones un identifiant publicitaire anonyme que les utilisateurs peuvent changer, contrairement à l'adresse MAC.

TikTok affirme s'être conformé à la politique d'Android dans ses dernières versions

L'application aurait exploité une faille pour contourner les restrictions de Google, explique le WSJ. La réinitialisation de l'ID publicitaire devient ainsi inutile puisque tout nouvel identifiant peut être associé à l'adresse MAC de l'appareil. Depuis Android 10, le système génère par défaut des adresses MAC aléatoires pour améliorer la confidentialité des utilisateurs. Mais cette randomisation concerne uniquement les points d'accès WiFi auxquels les utilisateurs se connectent. Une adresse factice est présentée aux réseaux WiFi, mais techniquement le MAC de l'appareil ne change pas.

Ce n'est pas la première fois que l'application est accusée d'espionnage. TikTok a notamment été épinglé dernièrement pour accéder au contenu du presse-papier des iPhone. Le réseau social n'a pas tardé à réagir après la publication du nouveau rapport du WSJ. Il ne nie pas les faits, mais affirme s'est conformé à la politique de confidentialité d'Android.

« Nous mettons constamment notre application à jour pour coller à l'évolution des défis en matière de sécurité. La version actuelle de TikTok ne collecte pas les adresses MAC », a déclaré un porte-parole. « Nous encourageons toujours nos utilisateurs à télécharger la version la plus récente de TikTok ». À en croire le WSJ, l'application aurait collecté ces données de 2018 à novembre 2019, pendant 18 mois au moins.

Source : Wall Street Journal