La suspicion de risques potentiels pour la sécurité lors de l’utilisation de l’application « TikTok » du fabricant chinois ByteDance a conduit à l’interdiction de cette application sur les appareils des autorités dans de nombreux pays. La Commission européenne ainsi que le Parlement européen ont également décrété début 2023 une interdiction de l’application sur les téléphones portables professionnels de leurs collaborateurs. Les autorités et les entreprises suisses doivent également se poser la question de savoir comment gérer les risques potentiels liés à l’utilisation de l’application. L’Institut national de test de cybersécurité NTC a pris l’initiative de tester l’application « TikTok » à l’instigation du Centre national de cybersécurité (NCSC).
Lors de l’analyse, l’accent a été mis sur des conditions de test aussi proches que possible de la réalité, sans mesures de protection particulières. La protection des données personnelles et les risques de sécurité étaient au centre de l’examen. L’objectif était d’évaluer le risque d’une éventuelle surveillance et d’un espionnage lors de l’utilisation de « TikTok » sur des appareils Android ou iOS. La protection contre la manipulation, la censure et l’influence de l’opinion politique ne faisait pas partie de l’analyse. De même, dans le cadre du budget-temps d’environ 40 jours-personnes, il n’a pas été possible d’effectuer des observations techniques à long terme ni d’analyser en détail tous les composants logiciels.
Les tests du CTN ont montré que le comportement de l’application « TikTok » correspond en principe à ce que l’on attend d’une application de médias sociaux. Aucun indice de surveillance des utilisateurs n’a été trouvé. Néanmoins, cela serait techniquement possible en raison des autorisations étendues que l’utilisateur peut accorder à l’application « TikTok ». En outre, des failles pourraient être activées dans certaines circonstances ou résulter de mises à jour.
Il est frappant de constater que des données de position sont souvent envoyées. En outre, les messages de chat envoyés via « TikTok » ne sont pas cryptés de bout en bout. En revanche, il a été constaté qu’une partie de la communication avec le serveur dorsal de TikTok, dont le contenu n’est pas connu, est en outre cryptée.
Les utilisateurs devraient donc ne pas accorder d’autorisations à l’application « TikTok », ou alors toujours de manière limitée, fermer l’application après l’avoir utilisée, ne jamais partager leurs coordonnées avec l’application et utiliser d’autres canaux pour les communications professionnelles et confidentielles.
En résumé, l’Institut national de test pour la cybersécurité NTC recommande d’examiner d’un œil critique l’utilisation de l’application « TikTok », en particulier sur des appareils utilisés dans un contexte professionnel et administratif. Cela vaut en principe pour toutes les applications dotées d’autorisations étendues et dont l’utilité est limitée dans le contexte professionnel et administratif.