La plateforme de vidéos courtes TikTok a fait l'objet de critiques au cours des derniers mois. Des législateurs et des citoyens américains ont remis en question ses pratiques de collecte de données et ses liens potentiels avec l'État chinois. Les inquiétudes se sont accentuées après la publication par Buzzfeed d'un article indiquant que les données de certains utilisateurs américains avaient été consultées à plusieurs reprises depuis la Chine. La société mère de TikTok, ByteDance, basée à Pékin, a nié avoir partagé des informations avec le gouvernement chinois et a annoncé qu'elle avait migré le trafic de ses utilisateurs américains vers des serveurs exploités par Oracle. Mais cela n'a pas suffi à clarifier la situation, et les experts en sécurité et en confidentialité continuent de s'inquiéter. « En Chine, la politique et les affaires sont inséparables », a déclaré Joseph Williams, partenaire, cybersécurité, chez Infosys Consulting. Il fait valoir que « le gouvernement chinois pourrait se concentrer sur des utilisateurs spécifiques, des mots-clés spécifiques ou des séquences vidéo spécifiques pour identifier tout ce qu'il pourrait trouver intéressant ».
En théorie, TikTok pourrait collecter toutes sortes de données, y compris du texte, des images, des vidéos, la localisation, les métadonnées, les brouillons de messages, les empreintes digitales ou l'historique de navigation. Le réseau social, qui a connu une croissance rapide ces dernières années, dépasse le milliard d'utilisateurs actifs mensuels dans le monde, dont 100 millions étaient basés aux États-Unis. Selon une enquête du Pew Research Center, 67 % des adolescents américains ont installé cette application plus qu'Instagram, Snapchat, Facebook ou Twitter. La question des entreprises qui remettent des informations aux gouvernements va bien au-delà de TikTok ou du pays. « La Chine n'est pas le seul État-nation à avoir un appétit insatiable pour les données », explique Matt Chiodi, chief trust officer chez Cerby. « Songez que les États-Unis ont été le plus grand demandeur de données pour bon nombre des plateformes de médias sociaux les plus populaires ». Une fois que les gouvernements ont accès aux données détenues par les entreprises, ils pourraient les exploiter de trois façons.
1. En savoir plus sur les citoyens et les étrangers
La chose la plus préoccupante que les gouvernements pourraient faire est de combiner des données provenant de sources multiples pour « mieux comprendre et cibler les individus, ainsi que comprendre les relations entre les personnes », explique Dakota Cary, consultante au Krebs Stamos Group. Les possibilités de croisement des données sont multiples. « Ne pensez pas aux données de TikTok de manière isolée, mais à ce qu'un État pourrait en faire en conjonction avec des données provenant de sources publiques et du dark web », explique Matt Chiodi. En Chine, en particulier, le gouvernement expérimente déjà son système de crédit social, et de fait l'accès aux données de TikTok pourrait l’aider à passer à un niveau supérieur et à créer des profils précis des utilisateurs en Chine et ailleurs.
« Toutes les données collectées sur les ressortissants étrangers par la Chine finissent par se retrouver dans ce type de système et ne seront probablement utilisées que lorsqu'elles détermineront qu'une personne présente un intérêt », ajoute Dakota Cary. Cela permettrait, par exemple, au pays de surveiller les hommes d'affaires occidentaux qui se rendent en Chine ou les étudiants occidentaux inscrits dans ses universités. En outre, il pourrait également aider le gouvernement à obtenir des informations plus précieuses sur les ressortissants chinois qui travaillent ou étudient à l'étranger.
2. Le vol de propriété intellectuelle
La Chine est depuis longtemps accusée de voler la propriété intellectuelle des entreprises occidentales. Les coûts économiques de ce type de vol sont difficiles à quantifier, mais le directeur du FBI, Christopher Wray, a déclaré en 2020 que l'espionnage économique de la Chine était la « plus grande menace à long terme » pour l'économie américaine. Au fil des ans, les entreprises de sécurité ont attrapé plusieurs groupes de pirates chinois engagés dans des opérations de cyberespionnage. En mai 2022, les chercheurs de Cybereason ont publié un rapport sur l'opération CuckooBees, indiquant que le groupe Winnti/APT41 ciblait des industries en Asie de l'Est, en Europe occidentale et en Amérique du Nord, dans le but de voler la propriété intellectuelle.
Supposons que le gouvernement chinois soit autorisé à accéder aux données de TikTok. Dans ce cas, il pourrait développer « des campagnes ciblées pour identifier les personnes ayant accès à la propriété intellectuelle sensible et exécuter des campagnes de spear-phishing pour y accéder », explique Matt Chiodi. « Par exemple, si vous travaillez dans la défense ou une entreprise de télécommunications, vous pourriez être une cible de choix ».
3. Des campagnes d'influence très ciblées
Après l'élection présidentielle américaine de 2016, où la Russie a été accusée de stimuler la candidature de Donald Trump, l'idée qu'une nation utilise les plateformes de médias sociaux pour influencer ce que les gens pensent a gagné en popularité. Il est possible d'employer des apps comme TikTok pour « influencer l'opinion d'un groupe en promouvant un certain point de vue avantageux pour les succès géopolitiques d'un État et de ses alliés », explique M. Chiodi. L'un des moyens d'y parvenir est de recourir à des algorithmes qui recommandent des vidéos spécifiques aux utilisateurs. La Chine pourrait, par exemple, promouvoir des contenus qui « soutiennent les "valeurs socialistes fondamentales" », ajoute Dakota Cary. « La volonté de guider les algorithmes de recommandation et d'adhérer à l'idéologie de la Chine pourrait être exportée dans le cadre de la plateforme TikTok, une fois que les décideurs politiques auront confiance dans leur capacité à influencer l'application », ajoute-t-elle.
Pour l'instant, les détails techniques du « guidage » d'un algorithme de recommandation semblent difficiles à cerner. C'est pourquoi Mme Cary pense que la Chine pourrait bientôt se concentrer sur des éléments tels que la modération du contenu, qui sont plus faciles à mettre en œuvre, plutôt que de développer une opération d'influence bien ficelée. Matt Chiodi est un peu plus pessimiste. Même sans ces algorithmes, la Chine pourrait créer une campagne sur le long terme « pour identifier de manière unique les personnes dont elle prédit qu'elles auront le plus d'influence future dans l'industrie ou la société », dit-il. « Les prédictions peuvent être basées sur divers degrés de séparation, entre autres facteurs ». Ces individus pourraient, en théorie, être influencés au cours de nombreuses années et pourraient éventuellement être approchés à des fins d'espionnage, ajoute-t-il.
Quelle réaction doivent adopter les entreprises ?
Les experts qui gèrent les risques doivent comprendre l'environnement géopolitique dynamique. « Le problème que représente TikTok est un problème systémique avec les logiciels de toute sorte provenant de Chine », dit Dakota Cary. « Toute entreprise basée là-bas peut être contrainte de collecter et de partager des données avec le gouvernement, y compris TikTok ». Un conseil est d'essayer de comprendre les règles qui s'appliquent aux entreprises chinoises. Un autre est de disposer d'un registre actualisé des actifs de l'entreprise, en sachant où se trouvent les données et comment elles sont traitées. « Une comptabilité complète des opérations de l'entreprise en Chine, de la nature et du stockage des données, ainsi que des types d'accès mis à la disposition des employés basés en Chine sur les réseaux de l'entreprise est essentielle pour les entreprises qui se concentrent sur les biens et services à forte valeur ajoutée », précise Mme Cary.
Les particuliers doivent également limiter autant que possible leur personnalité publique, sachant que tout ce qu'ils mettent sur Internet peut être accessible à des fins de sécurité nationale s'il n'est pas correctement crypté. Cela inclut les services qui opèrent sur le sol américain. « Nous sommes maintenant à un point de l'histoire de la technologie où la mise en commun et la mise en sens de quantités massives de données sont possibles », indique Matt Chiodi. « La consumérisation de l'informatique a fait en sorte que même les États-nations disposant de ressources limitées peuvent utiliser les services commerciaux des fournisseurs de cloud pour mener des campagnes de grattage et d'analyse de données autrefois réservées au G7 ».
Changement de perspective sur les plateformes technologiques
Une liste de recommandations peut être utile aux experts qui gèrent les risques, mais ce qui pourrait être nécessaire est un changement de perspective. Internet a profondément changé ces dernières années, et aucun pays ne contrôle toutes les plateformes technologiques. Aujourd'hui, plus de la moitié des internautes viennent d'Asie, et sur les 20 adresses web les plus visitées au monde, 12 sont déjà chinoises. « Les États-Unis se sont habitués à leur position inégalée dans le monde en ligne, ce qui rend difficile l'adaptation au fait de ne plus contrôler toutes les plateformes technologiques », explique Mikko Hyppönen, directeur de la recherche chez WithSecure (anciennement F-Secure).
L'Europe, en revanche, vit dans cette réalité depuis de nombreuses années. « Nos plateformes et applications technologiques viennent de loin, et leurs auteurs ne s'intéressent guère à nos souhaits, à notre culture ou à nos règles », explique Mikko Hyppönen. « À l'avenir, cela sera de plus en plus vrai pour les États-Unis ». L'Union européenne a élaboré plusieurs règles pour minimiser ce risque. Par exemple, elle demande aux entreprises de stocker les données des clients européens sur le sol européen, et elle finance des programmes de lutte contre la désinformation et la désinformation.
La Chine, une puissance en ligne en plein essor
« Les pays doivent exiger que les données de leurs consommateurs soient stockées localement, et les fournisseurs de services doivent obtenir une attestation indépendante que les transferts de données en dehors du pays ne se produisent pas ou ne sont pas possibles - tant sur le plan technique que du point de vue des personnes et des processus », explique M. Chiodi.
Selon Mikko Hyppönen, les préoccupations concernant TikTok ne sont qu'un avant-goût de ce qui est sur le point de se produire. « La Chine est une puissance montante en ligne, et ce n'est que le début », dit-il. « Le produit intérieur brut de la Chine croît à un rythme effarant. Elle rattrapera les États-Unis d'ici quelques années et dépassera l'Europe peu après. Ce pays est en train de devenir le roi du Texas (King oh the Hill) ».