Technologie
L’interdiction de TikTok au Royaume-Uni nous donne à tous des raisons de considérer la sécurité des médias sociaux
L’interdiction britannique d’installer et d’utiliser l’application de médias sociaux TikTok sur les appareils gouvernementaux aligne la politique de notre pays sur celle d’autres juridictions, y compris les États-Unis et les États membres de l’Union européenne.
Annoncée hier à la Chambre des communes par Oliver Dowden, chancelier du duché de Lancaster, l’interdiction couvre les appareils dans les départements ministériels et non ministériels, et constitue une mesure de précaution qui n’a pas été prise en réponse à un incident ou à une menace spécifique.
C’est la dernière étape d’une querelle de longue date entre l’Occident et la Chine sur les questions de confidentialité des données, qui, outre TikTok, a attiré Hikvision, un fabricant de caméras de surveillance IP, et le plus célèbre, le géant des réseaux et des communications Huawei, qui s’est retrouvé banni de l’infrastructure de communication de base du Royaume-Uni en 2020.
Tous ces cas découlent de préoccupations partagées par la Grande-Bretagne, les États-Unis et d’autres États occidentaux. D’une manière générale, ces préoccupations sont centrées sur la possibilité que le gouvernement chinois puisse extraire des données sensibles de ces sociétés à des fins d’espionnage.
La Chine a une longue histoire d’espionnage industriel, et ses cyberopérations soutenues par l’État sont largement reconnues comme une menace particulièrement dangereuse, de sorte que ces préoccupations ne sont pas totalement injustifiées, et il n’est pas exagéré d’imaginer comment Pékin pourrait exploiter les données personnelles des représentants du gouvernement britannique si elles tombaient entre leurs mains. À la lumière de cela, Chris Vaughan, vice-président de la gestion des comptes techniques chez Tanium, a déclaré qu’il n’était pas surprenant de voir Westminster suivre les traces de Bruxelles et de Washington DC.
« Les tactiques de renseignement chinoises sont généralement axées sur des objectifs à long terme et sont alimentées par la collecte soutenue de données », a-t-il déclaré. « L’immense collection de données sur les utilisateurs, qui comprend désormais des informations sur le commerce et les achats, combinée à la biométrie et au suivi des activités, fournit des renseignements détaillés aux départements d’État chinois.
« Ces données peuvent également être exploitées pour mener des opérations psychologiques ciblées, opportunes et souvent personnalisées contre des individus ou des groupes de citoyens. Ces tactiques pourraient potentiellement être utilisées pendant les cycles électoraux et les événements politiquement chargés dans les années à venir.
Vaughan considère que l’interdiction de TikTok au Royaume-Uni parle d’une question plus large concernant le degré d’influence chinoise jugé acceptable dans l’infrastructure nationale et la vie quotidienne (des problèmes similaires ont déjà été signalés à Huawei).
« Nous avons vu les inquiétudes augmenter en Occident ces derniers mois, avec l’utilisation de la technologie de surveillance chinoise restreinte », a-t-il déclaré. « Il y a également eu de nombreux rapports sur les efforts chinois pour influencer les politiciens par le biais de lobbying et de dons, et le public via les médias sociaux et la propagation de la désinformation. »
« Historiquement, la Russie a été le principal utilisateur d’opérations d’information, comme nous l’avons vu dans ses activités liées aux élections américaines de 2016 et au référendum sur le Brexit. La Chine s’est davantage concentrée sur le vol de propriété intellectuelle qu’elle peut ensuite utiliser à son propre avantage. Cependant, il y a des indications que le PCC [Chinese Communist Party] commencera à se concentrer davantage sur les opérations d’information et d’influence pour atteindre ses objectifs stratégiques, ce qui ajoute aux préoccupations concernant l’utilisation de technologies telles que TikTok.
« Tous les cas de ces activités doivent être affrontés de front par les dirigeants politiques occidentaux qui devraient adopter une position ferme contre cela au niveau gouvernemental, plutôt que de laisser la responsabilité aux organisations individuelles. »
Deux poids, deux mesures
Dans sa réponse à la déclaration de Dowden hier, la chef adjointe du Parti travailliste, Angela Rayner, a été cinglante en accusant le gouvernement d’être à la traîne et de faire des revirements soudains, et pour certains membres de la communauté de la cybersécurité, sa décision a quelque chose de nettement louche.
Matthew Hodgson, cofondateur et PDG du fournisseur de services de communication sécurisée Element, a déclaré que d’une manière importante, l’interdiction est carrément hypocrite.
« Le gouvernement britannique interdisant aux fonctionnaires d’avoir TikTok sur leurs téléphones tout en faisant adopter une législation qui donnera au gouvernement britannique accès à toutes les communications britanniques crie à deux poids, deux mesures », a déclaré Hodgson.
« Extérieurement, il semble qu’ils prennent la sécurité des données au sérieux en empêchant la Chine d’avoir une porte dérobée dans les données britanniques, bien que seulement pour les représentants du gouvernement actuellement. Cependant, le gouvernement britannique fait adopter le projet de loi sur la sécurité en ligne, qui crée une porte dérobée très similaire dans toutes les plates-formes de communication utilisées par les citoyens britanniques.
« Donc, il n’est pas acceptable pour la Chine d’accéder aux communications gouvernementales, mais il est acceptable de leur fournir un moyen d’accéder aux communications des citoyens via la sécurité en ligne B.Mauvaises faiblesses? Nous devons protéger la vie privée des citoyens britanniques aujourd’hui contre les mauvais acteurs et les États-nations de toutes formes et tailles », a-t-il déclaré.
TikTok s’exprime
Naturellement, les pensées de Westminster ne sont pas partagées par TikTok, qui continue de souligner que le gouvernement chinois ne lui a jamais demandé de remettre des données et insiste sur le fait qu’il ne le ferait jamais si on le lui demandait.
Dans un communiqué publié à la suite de l’annonce de Dowden le 16 mars, un porte-parole de TikTok a déclaré: « Nous sommes déçus de cette décision. Nous pensons que ces interdictions sont basées sur des idées fausses fondamentales et motivées par une géopolitique plus large, dans laquelle TikTok et nos millions d’utilisateurs au Royaume-Uni ne jouent aucun rôle.
« Nous demeurons déterminés à travailler avec le gouvernement pour répondre à toutes les préoccupations, mais nous devrions être jugés sur les faits et traités de la même manière que nos concurrents. Nous avons commencé à mettre en œuvre un plan complet pour protéger davantage nos données d’utilisateurs européens, qui comprend le stockage des données des utilisateurs britanniques dans nos centres de données européens et le renforcement des contrôles d’accès aux données, y compris une surveillance indépendante de notre approche par une tierce partie. »
L’organisation estime qu’il est inexact de la décrire comme appartenant à des Chinois, car sa présence européenne est incorporée et réglementée au Royaume-Uni et en Irlande, et sa société mère, Bytedance, est constituée en dehors de la Chine, et ne serait donc pas soumise aux lois qui l’obligent à remettre des données à Pékin si on le lui demande.
La société a récemment annoncé le projet Clover, une « enclave » européenne sécurisée dédiée à l’hébergement de ses données utilisateur au Royaume-Uni et dans l’Espace économique européen (EEE). La réalisation de ce projet verra également les données des utilisateurs britanniques – actuellement stockées dans des centres de données à Singapour et aux États-Unis – transférées au sein de la juridiction européenne.
Il a également nommé une société de cybersécurité tierce pour auditer ses contrôles et ses protections, surveiller les flux de données et vérifier sa conformité aux lois pertinentes, ce qui, selon lui, va au-delà de ce que toute autre plate-forme technologique fait actuellement.
Simon Mullis, directeur de la technologie de Venari Security, convient que l’interdiction de TikTok est politiquement motivée, dans une certaine mesure. « Les préoccupations sont vraiment enracinées dans la capacité à assurer la chaîne de confiance de la protection des données du début à la fin, et à toutes les étapes intermédiaires », a-t-il déclaré. « Avec TikTok, cela s’est avéré extrêmement difficile pour diverses raisons techniques et politiques.
« En toute justice, l’interdiction est autant politique que conséquence de la conception technique de l’application », a déclaré Mullis. « La conception et l’architecture de TikTok sont-elles si différentes des autres applications de médias sociaux largement utilisées qu’elles provoquent des craintes massives en matière de sécurité? La réponse est « probablement pas ».
Longtemps à venir
Mais Jamie Moles, directeur technique principal chez ExtraHop, a déclaré que compte tenu de ce que nous savons du fonctionnement de TikTok et, surtout, de ce que nous savons des données qu’il demande et auxquelles nous devons avoir accès pour fonctionner sur un appareil, il est mystifiant de savoir pourquoi le gouvernement britannique a traîné si longtemps.
« Je suis un expert en sécurité qui a téléchargé et utilisé TikTok quand il est sorti comme tant d’autres, y compris ceux qui travaillent dans le gouvernement britannique », a-t-il déclaré. « Mais voici la différence: je l’ai supprimé dès qu’il est devenu clair que l’application pouvait récolter n’importe quoi de mon téléphone, y compris les contacts – données GPS, informations d’authentification d’autres applications, etc.
« Avoir cette application sur votre téléphone équivaut à donner au gouvernement chinois les clés de notre économie. »
Adam Marrè, directeur de la sécurité de l’information (RSSI) d’Arctic Wolf, a déclaré: « TikTok collecte des quantités massives d’informations auprès des consommateurs, telles que l’emplacement des utilisateurs, les empreintes vocales, les informations de calendrier et d’autres données sensibles. Le problème est que nous ne savons pas à quoi servent ces données, ni si un gouvernement étranger y a accès.
« Avec la montée en puissance des courtiers en données qui gagnent leur vie en vendant des informations utilisateur, cette plate-forme peut servir de véhicule aux acteurs malveillants. Ils peuvent ensuite vendre ces informations, qui peuvent être utilisées pour cibler des personnes via des e-mails de phishing, influencer via la propagande, ou même contrôler ou accéder à des dispositifs. Que cela nous rappelle que rien n’est vraiment « gratuit » et que nous devons tous faire preuve de prudence. »
Faaki Saadi, directeur des ventes pour le Royaume-Uni et l’Irlande chez SOTI, a déclaré : « Toute application qui récolte les données que vous y mettez doit être traitée avec prudence. Surtout pour les personnes à qui l’on fait confiance avec des informations sensibles de l’entreprise.
« L’interdiction de TikTok sur les appareils du gouvernement britannique devrait servir de signal d’alarme aux autres organisations – avez-vous une visibilité totale sur les applications que vos employés ont sur leurs appareils d’entreprise? Si ce n’est pas le cas, c’est peut-être le moment de faire le point. Et cela n’a pas besoin d’être un gros fardeau – il existe des solutions disponibles qui peuvent le faire pour vous et effacer toutes les applications indésirables en un instant.
SocSécurité des supports Ial
Marrè et Faadi parlent toutes deux d’un problème plus large avec les médias sociaux en général. D’autres plateformes de médias sociaux telles que Facebook et le propriétaire d’Instagram, Meta, se sont montrées à plusieurs reprises très blasées en ce qui concerne leurs données utilisateur et leurs politiques de sécurité. Twitter, sous le contrôle de l’erratique Elon Musk, se dirige dans une direction similaire.
Et Robert Huber, responsable de la sécurité chez Tenable, a déclaré que se concentrer uniquement sur TikTok signifie que nous risquons de manquer la forêt pour les arbres. « Il y a des centaines d’applications logicielles utilisées dans les agences gouvernementales chaque jour qui introduisent des risques, et les vulnérabilités connues non corrigées sont la source la plus probable de violations de données », a-t-il déclaré.
« La clé est que les responsables de la sécurité comprennent le profil de risque unique de leur organisation, découvrent où les vulnérabilités existent et hiérarchisent les efforts de remédiation pour éradiquer celles qui pourraient être les plus nuisibles en premier. »
Devrions-nous tous interdire TikTok?
Ismael Valenzuela, vice-président de la recherche et du renseignement sur les menaces chez BlackBerry, a déclaré qu’il voyait déjà des RSSI envisager d’interdire l’utilisation de TikTok sur les appareils de l’entreprise. Ceci est particulièrement pertinent pour ceux qui travaillent pour des organisations qui opèrent dans des environnements hautement réglementés, tels que le secteur des services financiers, où les entreprises sont censées à juste titre effectuer leurs propres tests de sécurité des produits et examiner juridiquement les positions de politique de confidentialité pour, à tout le moins, limiter l’utilisation sur les appareils d’entreprise ou par les utilisateurs de grande valeur.
« Il ne fait aucun doute que les organisations disposant de modèles de menaces régulièrement mis à jour basés sur des informations contextuelles, des pratiques de gestion des actifs matures et des solutions de gestion intégrée des terminaux sont mieux placées pour gérer ce risque à l’échelle de l’entreprise », a déclaré Valenzuela.
« Il souligne l’importance de la gestion des risques dans l’ensemble de l’organisation et la nécessité d’évaluer, et donc de contrôler, l’impact de l’introduction de nouveaux produits et technologies sur la sécurité globale de l’organisation. Cela inclut l’utilisation d’applications de chat et de médias sociaux apparemment inoffensives.
« Je soupçonne que seul un nombre limité de RSSI sont au courant de la déclaration de politique de confidentialité de TikTok », a-t-il poursuivi. « Alors que les attaques sur la chaîne d’approvisionnement sont une réelle préoccupation aujourd’hui, le risque d’atteinte à la vie privée devrait également être une priorité absolue pour les RSSI des organisations à haut risque. En effet, les données personnelles des dirigeants d’entreprise et d’autres personnes importantes peuvent être d’une grande valeur entre les mains d’attaquants motivés financièrement ou de l’État.
En fin de compte, la question de savoir si les responsables de la sécurité devraient interdire ou restreindre l’utilisation de TikTok sur les appareils appartenant à l’entreprise est une question à laquelle eux seuls peuvent répondre. Mais étant donné le nombre croissant d’interdictions gouvernementales proposées ou promulguées, à tout le moins, une évaluation approfondie des risques est de mise, associée à un audit plus large de l’activité des entreprises sur les médias sociaux.
-
Technologie3 ans agoUne escroquerie par hameçonnage cible les clients de la Lloyds Bank
-
Monde3 ans agoLa NASA va supprimer les noms « offensants » des planètes et des galaxies
-
Monde3 ans agoQuelle est la taille de Barron Trump?
-
Monde3 ans agoQui est le mari de Candace Owens, George Farmer?
-
Monde3 ans agoQui est le chef de la mafia sicilienne Matteo Messina Denaro?
-
France3 ans agoQui est Luce Douady et comment l’alpiniste de 16 ans est-il mort?
-
Technologie10 mois agoLe forum cybercriminel ne cible que la Russie
-
France3 ans agoLe mari admet avoir tué sa femme en vacances et jeter le corps dans les égouts pluviaux