Les applications telles que TikTok, Instagram ou encore Facebook, siphonnent une quantité de données parfois inimaginable pour le simple utilisateur. L'ingénieur Felix Krause, qui s'était penché sur ces pratiques chez Meta, a décrit un procédé similaire sur l'application chinoise TikTok, dans un article de blog publié le 18 août.
Lorsqu'un utilisateur clique sur un lien sur TikTok, l'application va transmettre la requête à un navigateur "maison", donc autre que Google Chrome ou Safari, par exemple. Là, l'application va injecter un code informatique permettant d'amasser les informations liées à l'utilisateur.
Ce procédé se fait au moyen d'un "pixel", un code informatique régulièrement utilisé par les plateformes numériques pour "identifier les préférences des utilisateurs" - en d'autres termes, traquer leurs moindres faits et gestes. Il est également utilisé par les réseaux sociaux de Meta.
Toutes les recherches enregistrées
Dès lors que l'utilisateur utilise ce système, toutes ses recherches seront enregistrées, via les actions portées sur le clavier. L'application pourra alors collecter les recherches effectuées, mais pas seulement: mots de passe, code de carte bleue, ou toute autre donnée sensible.
Par exemple, il est possible de voir sur TikTok des créateurs ou encore des artistes, qui proposent le lien de leur boutique en ligne sur leur profil. Dès qu'un utilisateur clique sur ce lien, il est redirigé, au moyen du navigateur "maison" de l'application, sur le site web de cette boutique. Là, les articles que l'utilisateur consultera, les achats qu'il pourra éventuellement effectuer peuvent être enregistrés par l'application.
Le vice ne s'arrête pas là : TikTok dispose également d'un code permettant d'enregistrer les autres actions de l'utilisateur, tels que le fait de cliquer sur un lien, d'utiliser les boutons "J'aime", de partager des publications, etc.
Idem chez Meta
L'ingénieur Felix Krause avait déjà dénoncé un procédé similaire chez les réseaux sociaux de Meta. Sur Instagram, ou Facebook, même son de cloche: le code injecté par l'application ne laisse aucune place à la discrétion pour l'utilisateur.
Il faut tout de même remarquer que TikTok propose d'effectuer sa recherche sur un autre navigateur, comme Safari depuis l'application iOS, comme l'a identifié un utilisateur.
Une alternative qui parait préférable, dans un contexte où l'application chinoise est régulièrement scrutée pour ses liens avec le Parti communiste chinois, à qui elle est soupçonnée d'envoyer les données d'utilisateurs qu'elle récolte.
Si l'application s'est régulièrement défendue de telles pratiques, sa maison-mère entretient des liens flous avec le gouvernement au pouvoir.
Toutefois, l'ingénieur rappelle que malgré la présence de ces codes, il est impossible de connaître l'ampleur réelle de la récolte de données, ni l'utilisation qui en est faite.
"Le fait qu'une application injecte du code dans des sites web externes ne signifie pas qu'elle s'adonne à des pratiques malveillantes. Il n'y a aucun moyen pour nous de connaître la totalité des détails de ces collectes, ni comment les données sont transférées et utilisées. Cette publication a simplement pour but de montrer comment ce procédé fonctionne, et de détailler les effets qu'il pourrait avoir", précise l'ingénieur.
D'autres pratiques sont plus sûres
D'autre part, Krause met toutefois en lumière des applications plus "sécurisées", qui n'entretiennent pas ces pratiques sensibles pour la vie privée des utilisateurs. C'est notamment le cas de Twitter, YouTube, ou Telegram, par exemple.
Dans cette liste, les applications accolées à l'expression "Default browser" (navigateur par défaut) feront basculer l'utilisateur sur le navigateur qu'il utilise par défaut. Il s'agit ici des applications iOS, donc utilisables uniquement sur les produits Apple. Les applications suivies par l'expression "SFSafariViewController" basculent, elles, sur Safari, le navigateur d'Apple.
Source : BFM TV (https://www.bfmtv.com/tech/actualites/reseaux-sociaux/comment-tik-tok-facebook-et-instagram-vous-traquent-lorsque-vous-cliquez-sur-des-liens_AN-202208190308.html)