TikTok

Comment les fuites sur TikTok affectent-elles votre posture de cybersécurité ?

Orlaith Traynor

6 min lire - 10 janvier 2025

Que se passe-t-il avec TikTok ? En 2025, le gouvernement américain fermera-t-il le rideau sur le tristement célèbre algorithme de TikTok ?

Malgré sa popularité, TikTok a connu des problèmes de cybersécurité ces dernières années. Ses liens avec ByteDance, une entreprise chinoise, ont également fait l'objet d'un examen minutieux.

Mais qu'est-ce que cela signifie pour les utilisateurs quotidiens et les entreprises ? TikTok est-il sûr ? Examinons les récents incidents liés à la confidentialité sur TikTok, les principaux risques de cybersécurité et les mesures que vous pouvez prendre pour rester en sécurité.

1. La toile de fond : TikTok et la cybersécurité

TikTok est l'une des plateformes de médias sociaux à la croissance la plus rapide, avec plus d'un milliard d'utilisateurs actifs. Son "foryoupage" (fyp/ fypage) propose une séquence personnalisée de vidéos TikTok que vous pouvez visionner et reposter.

Le contenu est basé sur vos centres d'intérêt, avec des catégories telles que le divertissement, la danse, les mèmes, les dessins animés et les farces. Il propose également TikTok Shop, une plateforme de commerce électronique.

Cependant, les problèmes de confidentialité de TikTok font souvent la une des journaux. Si toutes les applications de médias sociaux comportent leurs propres risques en matière de cybersécurité, TikTok se distingue par ses liens géopolitiques et sa propriété uniques.

*Graphique des vidéos TikTok de Fly High Media. Source.*

Chronologie des incidents de sécurité sur TikTok

Février 2019 : Après avoir fusionné avec la nouvelle plateforme TikTok, l'application Musical.ly a dû payer $5.7 millions à la suite d'allégations de la FTC selon lesquelles ils auraient violé les lois sur la protection de la vie privée des enfants.
Juin 2020 : L'Inde interdit TikTok après un affrontement militaire à la frontière avec la Chine. Outre les préoccupations relatives à la protection de la vie privée, il a déclaré, Les applications chinoises constituent une menace pour la souveraineté et la sécurité de l'Inde". (À ce jour, elle a interdit plus de 500 applications chinoises).
Août 2020 : TikTok a fait l'objet d'un recours collectif en raison d'un traitement inapproprié de ses données. 89 millions d'utilisateursy compris les données de reconnaissance faciale.
juin 2022 : Employés chinois de TikTok ont été révélés comme ayant accédé à des données d'utilisateurs américains, un employé clé ayant déclaré, "Tout est vu en Chine.
Décembre 2022 : La société mère chinoise de TikTok, ByteDance, a déclaré que quatre employés avaient utilisé l'application pour espionner les journalistes.
avril 2023 : Les autorités de régulation britanniques ont infligé une amende à TikTok 12,7 millions de livres sterling pour violation de la législation sur les données, y compris le traitement de données concernant des enfants de moins de 13 ans.
mars 2024 : La Chambre des représentants des États-Unis a adopté un projet de loi qui exigeait que les propriétaires chinois de TikTok vendent l'entreprise ou qu'elle soit interdite aux États-Unis.
novembre 2024 : Autorités canadiennes a ordonné à TikTok de mettre fin à ses activités dans le pays, mais n'a pas imposé d'interdiction.

Capture d'écran d'une vidéo d'actualité du New York Times. Source.

2. Les principaux dangers de TikTok

Pourquoi des instances dirigeantes comme les États-Unis, le Royaume-Uni et le Canada sont-elles si préoccupées par TikTok ? Chaque application comporte ses propres risques, mais il existe une liste particulière de problèmes de sécurité concernant TikTok qui sortent du lot.

Collecte extensive de données TikTok

TikTok vole-t-il vos informations ? Bien que TikTok recueille de nombreuses données, y compris des numéros de téléphone, en fin de compte, son traitement des données et son suivi comportemental sont des activités qui n'ont pas d'impact sur la vie privée des utilisateurs. similaire à d'autres applications de médias sociaux.

Cependant, ce qui distingue TikTok, ce sont ses propriétaires chinois, ByteDance. Les critiques affirment que ByteDance est soumis à la loi chinoise sur le renseignement national, ce qui l'oblige à partager les données des utilisateurs - bien que TikTok le nie sur son site web.Mythes et faits' page web.

Néanmoins, un grand nombre de données sont accessibles et pourraient potentiellement être utilisées dans le cadre de la lutte contre le terrorisme. "permettre à la Chine de créer un portefeuille d'utilisateurs complet pour tous ses utilisateurs". selon Forbes.

Aperçu de la page d'inscription de TikTok.

Campagnes d'information et influence à grande échelle

Le RSSI de CybelAngelTodd Carroll, a fait remarquer dans un blog récent que Les acteurs étatiques malveillants sont omniprésents sur les médias sociaux". Les acteurs chinois de la menace peuvent avoir un intérêt particulier pour TikTok, en raison de ses affiliations.

Dans un Podcast NPRLes experts ont cité le pouvoir de l'influence étrangère sur des plateformes telles que TikTok, où des pays comme la Chine peuvent mener des opérations d'information en ligne, telles que Il s'agit de "semer le doute sur le leadership des États-Unis et, en fin de compte, de saper la démocratie".'

Avec un tiers de la population adulte accédant aux actualités via TikTok, la Département de la défense des États-Unis souligne les dangers que représentent les pays étrangers qui l'utilisent comme plateforme pour diffuser leurs propres campagnes d'information.

Par exemple, après le projet de loi américain visant à interdire ou à forcer sa vente, Notifications envoyées par TikTok à ses utilisateurs et leur a demandé de "Parlez maintenant" Les bureaux du Congrès ont reçu d'innombrables appels téléphoniques.

*Capture d'écran de la notification TikTok dans l'application* aux utilisateurs.

Le risque des deepfakes et de l'apprentissage automatique de l'IA

A Rapport RAND sur les dangers de TikTok, "La possibilité d'une collecte extensive de données audiovisuelles pour faciliter la création de deepfakes avancés est une raison impérieuse et urgente d'examiner de près les applications contrôlées par des étrangers comme TikTok."

Dans le rapport, certaines critiques suggèrent que le format vidéo de TikTok offre un format d'entraînement parfait pour les modèles d'intelligence artificielle, tandis que le filigrane de TikTok rend difficile l'utilisation du même contenu par d'autres outils, ce qui confère à TikTok la propriété exclusive des données.

Fausses découvertes Les deepfakes sont des bots, des créateurs de TikTok ou des acteurs de la menace qui peuvent créer des fichiers vidéo et audio réalistes (mais faux). Si les deepfakes ont des utilisations légitimes, ils peuvent également être utilisés pour diffuser des informations erronées, détruire des réputations ou orchestrer des usurpations d'identité.

Toutefois, il convient de noter que TikTok introduit également la fonction filigranes pour le contenu de l'IA. Si ce système est mis en œuvre de manière fiable, il devrait permettre aux utilisateurs de discerner ce qui est réel et ce qui est faux.

Téléchargements et mises à jour du compte TikTok

Il existe également des risques liés à l'application TikTok elle-même.

En fin de compte, les utilisateurs de TikTok téléchargent un logiciel chinois sur leurs appareils - et qui peut dire si les futures mises à jour pourrait contenir des logiciels malveillants ou des conditions générales contraires à l'éthique ?

Seuls les experts informatiques, les RSSI et les développeurs peuvent en être sûrs. Tous les autres doivent faire un acte de foi - et espérer que leur données personnelles est entre de bonnes mains.

3. Se protéger contre les risques liés à TikTok

Si toutes les applications de médias sociaux comportent un certain niveau de risque, TikTok peut poser des problèmes particuliers à toute entreprise ou organisation.

Les employés utilisent-ils TikTok sur leurs appareils professionnels ? À quelles données TikTok peut-il avoir accès, directement ou indirectement ?

Voici quelques conseils de sécurité TikTok "pour vous #fyp" :

Recommandations politiques : Préciser si les applications de médias sociaux, y compris TikTok, peuvent être installées sur les téléphones portables. Appareils connectés à l'internet utilisé pour le travail.
Contrôles techniques : Utiliser des outils tels que les solutions de sécurité des points finaux et de contrôle des applications pour surveiller et restreindre l'activité des applications à risque.
Sensibilisation et formation : Une simple erreur, comme cliquer sur un lien TikTok malveillant, peut avoir des conséquences importantes. Les programmes de formation doivent mettre l'accent sur la vigilance et la responsabilité, tant pour les employés que pour les membres de votre équipe. chaîne d'approvisionnement.
Solutions EASM : Investissez dans une solution de cybersécurité qui protège vos actifs en contact avec le public, tels que CybelAngel. Cela peut vous aider à anticiper et à prévenir violations de données, ransomwareet d'autres cyberincidents.

En prenant les bonnes mesures, vous pouvez protéger votre posture de cybersécurité et éviter d'être compromis par des applications de médias sociaux telles que TikTok.

TikTok dévoile F.A.Q.

Q : L'utilisation de TikTok est-elle sûre ?

TikTok est-il dangereux ? Tout dépend de votre tolérance à la vie privée. TikTok recueille des données importantes, mais d'autres applications et outils de profilage publicitaire font de même. L'essentiel est d'utiliser les paramètres de confidentialité, d'être attentif aux autorisations et de surveiller votre empreinte numérique au sens large.

Q : Que se passe-t-il si un gouvernement interdit TikTok ?

Une interdiction de TikTok pourrait limiter sa disponibilité, mais n'empêcherait pas nécessairement les utilisateurs déterminés d'accéder à l'application. Les entreprises doivent se préparer aux risques liés à TikTok, quelle que soit l'action du gouvernement.

Q : Comment TikTok se situe-t-il par rapport à d'autres applications du point de vue de la sécurité ?

TikTok fait l'objet d'une attention particulière en raison de sa propriété, mais d'autres applications de médias sociaux présentent également des risques importants pour la vie privée et la sécurité. L'essentiel est d'évaluer chaque application individuellement.

Q : Les entreprises devraient-elles interdire purement et simplement TikTok sur les appareils des employés ?

Cela dépend de la tolérance au risque de votre organisation. Dans les environnements hautement sécurisés, il peut être prudent d'interdire TikTok. Pour d'autres, des politiques claires et des contrôles techniques peuvent suffire.

Q : Un lien vm.tiktok est-il sûr ?

Une URL qui suit le format vm.tiktok.com signifie que quelqu'un a partagé une vidéo TikTok à partir de l'application.

Conclusion

Malgré ses récentes controverses, TikTok n'est pas près de disparaître en 2025. Que vous soyez un RSSI ou un responsable informatique, il est essentiel d'évaluer les implications de l'application pour votre stratégie de cybersécurité.

Mais avec les bonnes politiques, les contrôles techniques et la formation des employés, vous pouvez réduire les risques liés à la sécurité de TikTok, qu'ils proviennent de TikTok ou de toute autre application de médias sociaux.

Si vous souhaitez en savoir plus sur la protection de votre entreprise, veuillez contacter CybelAngel pour obtenir des avis d'experts sur la gestion de la surface d'attaque externe (EASM).

An Update on the India-Pakistan Cyber Conflict: [Threat Note]

Credential Intelligence: How to Turn Leaked Logins Into Early Warnings