Felix Krause, fondateur de fastlane.tools, a publié un rapport selon lequel l’application iOS TikTok enregistre les frappes de touches effectuées par les utilisateurs d’une manière qui, au moins potentiellement, pourrait finir par être reçue par les serveurs de ByteDance et d’autres entreprises.
M. Krause explique que chaque fois qu’un lien est ouvert avec l’application TikTok pour iOS, la page web est chargée dans le navigateur web de l’application (qui, étant donné les restrictions d’Apple, doit nécessairement s’appuyer sur le moteur de rendu WebKit par défaut du système). Selon la version de Krause, “TikTok enregistre toutes les saisies au clavier (y compris les mots de passe, les informations relatives aux cartes de crédit, etc.) et chaque touche de l’écran, comme les boutons et les liens sur lesquels vous cliquez”.
Il est important de noter que l’enregistrement des frappes se fait sur toute page web tierce chargée à partir de l’application iOS TikTok. La fonctionnalité a été mise en œuvre à l’aide de JavaScript (une technologie courante dans ce genre de cas) et l’on ne savait pas au départ à quoi ByteDance utilisait les données ni comment elle les utilisait.
🔥 New Post: Announcing InAppBrowser – see what JavaScript commands get injected through an in-app browser
👀 TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc
— Felix Krause (@KrauseFx) August 18, 2022
Comme on pouvait s’y attendre, le rapport de Felix Krause a fait grand bruit, surtout si l’on considère l’énorme popularité du service vidéo, qui fait également office de réseau social. TikTok a été pratiquement forcé de sortir du bois, mais n’a pas répondu directement à Krause, et s’est contenté de déclarer ce qui suit sur Forbes :
“Comme d’autres plateformes, nous utilisons un navigateur in-app pour offrir une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le suivi des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou si elle se plante.”
En fin de compte, TikTok, tout en essayant de minimiser le problème et en affirmant qu’il n’utilise pas le code pour enregistrer les frappes au clavier, confirme les conclusions de Felix Krause. Malheureusement, cette pratique est loin d’être nouvelle. Elle existe depuis de très nombreuses années et est utilisée par de nombreux services et sites web populaires. TikTok lui-même a déjà quelques précédents douteux.
Si vous consultez le rapport ici, vous verrez que TikTok n’est pas le seul service à se livrer à des pratiques douteuses, car Instagram fait quelque chose de similaire, mais sans apparemment enregistrer les frappes de clavier. Beaucoup de ces pratiques sont tolérées par Apple en raison de la façon dont l’internet fonctionne, plein de traqueurs d’entreprise qui vont de soi, mais que l’application TikTok puisse agir comme un enregistreur de frappe franchit une ligne que le géant de Cupertino ne devrait pas tolérer.