Analyse : Il existe maintenant des preuves publiques que la Chine a consulté les données de TikTok

CNN
—

Les responsables américains ont longtemps insisté sur le fait que le gouvernement chinois pourrait être en mesure de voir les informations personnelles des utilisateurs de TikTok – mais cette affirmation était purement spéculative. Jusqu’ici.

Dans ce qui semble être une première, un ancien employé de ByteDance, la société mère de TikTok basée à Pékin, a décrit des affirmations spécifiques selon lesquelles le Parti communiste chinois aurait accédé aux données des utilisateurs de TikTok à grande échelle et à des fins politiques.

Dans un dossier déposé cette semaine, l’ancien employé de ByteDance, Yintao Yu, a allégué que le PCC avait espionné des manifestants pro-démocratie à Hong Kong en 2018 en utilisant un accès « dérobé » à TikTok pour identifier et surveiller les emplacements et les communications des militants.

Plusieurs experts en sécurité ont déclaré à CNN qu’il s’agissait de la première instance signalée du PCC accédant aux données réelles des utilisateurs de TikTok. L’affirmation explosive, que ByteDance conteste, pourrait enflammer un débat mondial sur la question de savoir si TikTok constitue une menace pour la sécurité et si les décideurs politiques ont raison d’interdire l’application vidéo abrégée.

Les preuves, telles qu’elles sont, restent assez minces. Il s’agit d’une déclaration sous serment de Yu, qui poursuit ByteDance dans une affaire de licenciement abusif devant un tribunal de l’État de Californie. La déclaration ne fournit pas de documentation, de messages internes ou d’autres sources primaires pour étayer l’allégation.

Mais Yu, qui a promis sous peine de parjure qu’il disait la vérité, allègue avoir consulté des journaux d’accès montrant que des responsables du PCC – que Yu a décrit comme faisant partie d’un “comité” spécial avec un accès physique dédié aux bureaux de ByteDance à Pékin – ont utilisé un so- appelé “god credential” pour contourner toute protection de la vie privée que l’entreprise aurait pu appliquer aux données TikTok.

“Le Comité et les enquêteurs externes ont utilisé les informations d’identification divines pour identifier et localiser les manifestants de Hong Kong, les militants des droits civiques et les partisans des manifestations”, a allégué Yu dans le dossier. “D’après les journaux, j’ai vu que le Comité avait accès aux données d’utilisateur, aux emplacements et aux communications uniques des manifestants, des militants des droits civiques et des partisans.”

Le dossier a été rapporté pour la première fois par le Wall Street Journal.

TikTok a refusé de commenter l’allégation. Dans un communiqué, un porte-parole de ByteDance a cherché à discréditer les affirmations de Yu en les qualifiant d’opportunisme publicitaire.

“Nous prévoyons de nous opposer vigoureusement à ce que nous pensons être des allégations et des allégations sans fondement dans cette plainte”, indique le communiqué, ajoutant que l’emploi de Yu dans une application ByteDance connue sous le nom de Flipagram a été résilié en 2018 après avoir travaillé pour l’entreprise pendant moins d’un an. “Il est curieux que M. Yu n’ait jamais soulevé ces allégations au cours des cinq années qui ont suivi la fin de son emploi chez Flipagram en juillet 2018. Ses actions visent clairement à attirer l’attention des médias.”

Selon Yu, les types de données auxquelles le PCC peut avoir accès incluent les identifiants des appareils, les informations sur le réseau telles que les adresses IP et les messages directs des utilisateurs, ainsi que les historiques de recherche et de navigation. TikTok a annoncé son retrait de Hong Kong en 2020 après que la Chine y ait imposé une loi sur la sécurité nationale.

James Lewis, un expert en sécurité de l’information au Centre d’études stratégiques et internationales, et John Scott-Railton, un expert en sécurité de l’information au Citizen Lab de l’Université de Toronto, ont tous deux convenu que l’affirmation de Yu semble être la première à identifier une circonstance spécifique où le PCC a en fait accédé aux données de TikTok.

Il y a eu des rapports isolés d’accès inapproprié aux données TikTok dans le passé. Plus particulièrement, ByteDance a reconnu avoir licencié un certain nombre d’employés qui ont cherché à accéder aux informations de compte appartenant à plusieurs journalistes. L’accès inapproprié, ont déclaré des responsables de l’entreprise, était une tentative malavisée d’identifier la source des fuites dans la presse.

Cette situation semble cependant avoir été limitée à plusieurs individus et ne semble pas impliquer des agents travaillant pour le compte du PCC. En revanche, les responsables américains ont caractérisé leurs soupçons à l’égard de TikTok en des termes beaucoup plus larges, décrivant les craintes que le gouvernement chinois utilise les données de TikTok pour informer des opérations de collecte de renseignements à grande échelle ou pour promouvoir des campagnes de désinformation au niveau sociétal.

Lorsque Rob Joyce, directeur de la cybersécurité de la National Security Agency, a été invité par des journalistes en décembre à exprimer ses préoccupations en matière de sécurité concernant TikTok, il a offert un avertissement général sur le potentiel de préjudice plutôt qu’une allégation spécifique.

“Les gens recherchent toujours le pistolet irréfutable dans ces technologies”, a déclaré Joyce. “Je le caractérise beaucoup plus comme une arme chargée.”

Le PDG de TikTok, Shou Chew, auparavant dit aux législateurs américains que la société n’a jamais été invitée par le gouvernement chinois à fournir des données sur ses utilisateurs américains et qu’elle ne se conformerait jamais à une telle demande. TikTok a également déclaré qu’il mettait en œuvre un plan pour stocker les données des utilisateurs américains sur des serveurs tiers basés aux États-Unis, l’accès à ces données étant contrôlé par des employés américains. L’entreprise s’apprête à mettre en place une solution similaire pour les données européennes.

Mais Chew et d’autres responsables de TikTok ont ​​​​également hésité à répondre à des questions spécifiques sur la nature de la relation de TikTok avec ByteDance ou la relation de ByteDance avec le gouvernement chinois.

Les allégations de Yu concernant les dissidents de Hong Kong sont beaucoup plus proches du type de préoccupations soulevées par le gouvernement américain. Ils impliquent l’ingérence directe des responsables chinois dans les opérations commerciales d’une entreprise privée, conduisant finalement à une surveillance à grande échelle destinée à mettre fin à l’activité démocratique.

Les affirmations de Yu doivent encore être prouvées. Mais ils fournissent une accusation de fond rare, sinon la première, de ce que beaucoup ont supposé comme une simple possibilité.