Au début du mois d’août, Felix Krause a beaucoup fait parler de lui. En analysant le code du navigateur de Meta, présent dans Facebook, Instagram, Messenger et toutes les autres applications du groupe, le développeur était arrivé à la conclusion que Meta nous espionnait, souvent en violant les règles d’utilisation d’iOS et d’Android. Une dénonciation qui n’avait pas plu à Meta, qui avait tenté d’expliquer par la voix de ses porte-parole que le développeur se trompait. Lui-même a reconnu quelques erreurs, même si le navigateur Meta traque bien plus de données que Safari ou Chrome.
Satisfait de ses découvertes, Felix Krause a décidé d’aller plus loin. Il a créé InAppBrowser, un outil chargé d’analyser le code JavaScript injecté dans un navigateur. Cela lui a notamment permis que TikTok va encore plus loin que les autres.
TikTok peut lire vos mots de passe
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Avec son nouvel outil, Felix Krause est allé surveiller certaines des applications les plus populaires, comme TikTok, Instagram, Messenger, Facebook, Amazon, Snapchat et Robinhood (une application de bourse). Seules les deux dernières sont respectueuses de la vie privée, les autres ont implémenté du code pour obtenir des informations qu’ils n’auraient pas avec Safari, Chrome ou un autre navigateur officiel.
Les applications de Meta et de ByteDance (TikTok) ont un point commun : elles implémentent du code JavaScript pour obtenir des informations sur votre navigation. Dans le cas de TikTok, qui a confirmé l’existence de ce code à Forbes, la pratique peut même être dangereuse. Le code intégré au navigateur du réseau social préféré des jeunes surveille votre clavier, y compris lorsque vous insérez un mot de passe ou des coordonnées bancaires. Une pratique particulièrement problématique pour une application qui a pour ambition de devenir un géant du shopping, qui risque donc de vous inciter à donner votre carte bleue. TikTok est aussi informé de tous les liens/images sur lesquels vous cliquez, ce qui peut paraître logique. Enfin, dernier reproche fait au groupe chinois, TikTok ne met pas de bouton en avant pour ouvrir Safari ou Chrome. L’option est cachée.
Que faut-il faire avec cette information ? Notre recommandation est simple : ouvrez toujours la page en cours d’utilisation dans Safari ou Chrome, même si le faire prend parfois du temps. Même si rien ne dit que TikTok utilise ces données (il est même probable que ce n’est pas le cas, le développeur dit juste que c’est techniquement possible), autant passer par des navigateurs vraiment sécurisés.
Quid d’autres géants comme Twitter, WhatsApp ou Google (Gmail, Maps…), pas cités dans l’étude ? C’est normal, ils utilisent automatiquement Safari ou Chrome et n’embarquent pas de navigateur intégré. Avec eux, il n’y a aucun risque.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !