Après son article à charge contre Meta, Felix Krause remet le couvert en s’attaquant cette fois à TikTok. Selon ses recherches, l’application chinoise injecte elle aussi du code dans les sites web visités par ses utilisateurs via son navigateur intégré. Sa méthode est toutefois encore plus agressive puisqu’elle permet de récupérer ce qu’écrivent les internautes.

La semaine dernière, nous vous partagions une étude de Felix Krause, un développeur ayant découvert que Facebook et Instagram injectent du code supplémentaire aux sites web via leur navigateur intégré pour traquer l’activité de leurs utilisateurs. Aujourd’hui, le développeur revient à la charge avec de nouvelles révélations édifiantes. D’après ses recherches, les réseaux sociaux de Meta ne sont pas les seules à user de cette pratique : leur concurrent TikTok y a également recours.

Tout comme Facebook et Instagram, l’application chinoise dispose d’un navigateur intégré, bien que celui-ci sert avant tout pour les liens publicitaires. Et, tout comme Facebook et Instagram donc, celle-ci ajoute des lignes de codes JavaScript aux sites visités qui lui permettent de savoir exactement ce que font ses utilisateurs sur le web. Cependant, TikTok a ajouté au processus une petite touche personnelle, puisque l’application enregistre également tout ce que les utilisateurs écrivent dans son navigateur.

TikTok aussi espionne ses utilisateurs via son navigateur intégré

Cet ajout par rapport à la méthode de Meta est loin d’être anodin. Selon Felix Krause, cette fonctionnalité permet à TikTok de récupérer les identifiants, mots de passe et autres coordonnées bancaires que les utilisateurs taperaient une fois dans son navigateur. « C’est un choix conscient que l’entreprise a fait », affirme Felix Krause. « Il s’agit d’une tâche d’ingénierie non triviale. Cela ne se produit pas par erreur ou par hasard ».

De son côté, la firme chinoise se justifie en assurant ne jamais utiliser ce code supplémentaire pour espionner les utilisateurs. « Comme d’autres plateformes, nous utilisons un navigateur in-app pour offrir une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience — comme vérifier la vitesse de chargement d’une page ou si elle se plante », a déclaré la porte-parole Maureen Shanahan.

Il faut bien admettre que les recherches de Felix Krause ne permettent pas d’affirmer avec certitude que TikTok, ou de la même manière Meta, utilisent activement leur code pour espionner les données de leurs utilisateurs, voire les revendre à des acteurs tiers. Il est également impossible de dire si ces informations sont bien rattachées à la personne concernée. Après la publication de notre précédent article, Facebook nous avait par ailleurs affirmé que ce processus est entièrement anonyme.

Sur le même sujet — TikTok : le « Kia Challenge » encourage les adolescents à voler des voitures du groupe Hyundai

Comment savoir si un réseau social vous espionne sur le web

Néanmoins, Felix Krause insiste sur ce point : de tous les réseaux sociaux étudiés, TikTok est le seul à récupérer les données de saisie de ses utilisateurs. Cette conclusion l’amène ainsi à penser que d’autres informations encore inconnues pourraient être récupérées par l’application, ce qui vaut également pour ses concurrents. Afin d’aider les internautes à protéger leurs données, le développeur a publié un outil permettant de connaître précisément les données auxquelles les réseaux sociaux ont accès.

Voici comment il fonctionne :

• Dans le réseau social de votre choix, demandez à un ami de vous envoyer ce lien
• Cliquez dessus depuis votre smartphone
• La page qui s’ouvre indique alors les données récupérées par la plateforme

Bien entendu, la manière la plus efficace de se protéger contre ce code supplémentaire est encore de ne jamais utiliser les navigateurs intégrés aux applications. Lorsque vous cliquez sur un lien, préférez plutôt le copier, puis le coller dans un navigateur tiers tel que Google Chrome ou Safari.

Source : Felix Krause