Risques de sécurité Tik Tok | Protégez votre entreprise | Blog Intersys (2023)

Certaines décisions dans la vie sont notoirement délicates.

Par exemple, abandonnez-vous vos données personnelles, votre emplacement et votre âme Internet pour regarder Acat Swat Adrone ?

Ou n'êtes-vous pas?

En 2023, cela semble être un appel étonnamment difficile à faire alors que nous sommes de plus en plus nombreux à renoncer à notre vie privée pour les joies des médias sociaux.

Si vous détectez une touche de sarcasme dans ce qui précède, gardez à l'esprit que ceci est écrit par une société de sécurité acyber. Et nous sommes un peu horrifiés par la façon dont les gens diffusent leurs données personnelles partout.

Le plat du jour est TikTok. Nous recommandons à chaque propriétaire d'entreprise ou service informatique de lire la suite pour comprendre les risques de sécurité de TikTok et de s'assurer que les employés suivent les conseils ci-dessous.

Premier petit historique…

Qu'est-ce que TikTok exactement ?

TikTok est une application de partage de vidéos très populaire appartenant à des Chinois qui permet aux utilisateurs de créer et de partager de courtes vidéos avec d'autres Tik-Tokers. Il existe depuis 2016 et compte aujourd'hui plus de 3,5 milliards de téléchargements dans le monde.

Les sujets des vidéos vont du divertissement et de la danse aux astuces de vie et à l'apprentissage de la taille d'une bouchée. L'utilisateur typique de TikTok a moins de 24 ans, bien que les marques et les entreprises rejoignent rapidement le train en marche pour attirer un public cible plus jeune.

C'est pourquoi nous écrivons ceci pour vous...

Quels sont les risques de sécurité TikTok ?

Comme presque toutes les plateformes de médias sociaux, TikTok vous donne des trucs amusants en échange de la permission de récolter des données sur vous. Nous parlerons de cette récolte plus en détail ci-dessous.

Mais de nombreux pays sont particulièrement mal à l'aise avec TikTok en raison de sa propriété chinoise (ByteDance basée à Pékin) et du risque (actuellement) théorique que l'entreprise puisse potentiellement partager ses données clients avec le gouvernement chinois. La plate-forme a toujours insisté pour qu'ellene partage aucune donnéeavec ceux qui dirigent le pays. Mais alors, diront les détracteurs, ils diraient ça, non ?

Pendant ce temps, l'article sept de la loi chinoise sur le renseignement national stipule que toutes les organisations et tous les citoyens chinois doivent "soutenir, aider et coopérer" avecEfforts de renseignement chinois.

Oh, c'est vrai.

Mmm…

Comment réagissent les gouvernements ?

Le rival de la Chine, l'Inde, a répondu aux risques de sécurité perçus par TikTok en interdisant la plate-forme en 2020. Il considérait l'application et plusieurs autres basées en Chine comme une menace pour la sécurité nationale.

Donald Trump a proposé d'abandonner lorsqu'il était président, craignant que Tik Tok ne permette au gouvernement chinois de'suivre les emplacements des employés et des sous-traitants fédéraux, constituer des dossiers d'informations personnelles pour le chantage et mener des activités d'espionnage d'entreprise'.Sa décision a ensuite été annulée par Joe Biden.

Pendant ce temps, de nombreux gouvernements à travers le monde - y compris le Royaume-Uni, les États-Unis, l'Australie, le Canada et l'UE ont interdit l'application des appareils et des réseaux gouvernementaux en raison de la crainte qu'elle ne collecte des données confidentielles.

Jusqu'à présent, vous avez peut-être remarqué beaucoup de "pourrait" et d'interdictions préventives concernant les risques de sécurité perçus de TikTok. Mais qu'est-ce que TikTok a réellement fait?

Oups - TikTok fait des choses qu'il dit qu'il ne fera pas

Si la crédibilité de TikTok ne tenait qu'à un fil en raison d'interdictions gouvernementales, deux événements l'ont fait basculer de la falaise dans la communauté de la cybersécurité.

Depuis 2020, TikTok tente de rassurer les gens sur le fait que les employés chinois ne peuvent pas accéder aux données des utilisateurs non chinois.

Mais ensuite, en décembre 2022, ByteDance – propriétaire de TikTok – a avoué que son basé à Pékinles employés ont accédé aux donnéesd'au moins deux journalistes américains, et un "petit nombre" d'autres. Ils suivaient leurs emplacements pour vérifier s'ils rencontraient des employés de TikTok soupçonnés d'avoir divulgué des informations aux médias.

Appelez-nous paranoïaques, mais cela ressemble beaucoup à l'accès aux données d'utilisateurs non chinois. Et augmente plutôt la mise sur les risques de sécurité de TikTok.

TikTok a depuis mis à jour sa politique de confidentialité pour indiquer que les données des utilisateurs européens peuvent êtrevu par ses collaborateurs hors du continenty compris en Chine.

Pendant ce temps, la société étaitrécemment condamné à une amende de 12,7 millions de livres sterlingpar le Bureau du commissaire à l'information du Royaume-Uni pour avoir traité illégalement les données de plus d'un million d'enfants qui utilisaient la plateforme sans le consentement de leurs parents.

Cela semble juste… terrible.

Quel type d'autorisations TikTok nécessite-t-il ?

Le modèle de nombreuses plateformes de médias sociaux est la collecte de données pour le profilage commercial - par exemple, découvrir des choses sur vous afin qu'ils puissent cibler des publicités et vous amener à acheter des choses.

Ainsi, comme la plupart des entreprises de médias sociaux, TikTok collectera auprès de vous le type d'informations suivant :

• données personnelles à (nom d'utilisateur, e-mail, numéro de téléphone portable, date de naissance et mot de passe)
• Informations de paiement
• les informations incluses dans le contenu que vous créez, telles que les photos, les vidéos et les informations de localisation
• Adresses IP, votre système d'exploitation et les données du réseau
• des détails sur la façon dont vous utilisez le site et à qui vous parlez / envoyez un message
• votre audio et vidéo via votre caméra et votre microphone (commun avec la plupart des applications de partage de vidéos)

Mais il y a des autorisations qu'il demande - qui vont au-delà de celles-ci qui ont soulevé des sourcils et pour beaucoup constituent des risques de sécurité pour TikTok. La plupart des applications nécessitent des autorisations pour que quelques ensembles de données fonctionnent, mais TikTok voudrait vous faire croire qu'il nécessite un accès à tous.

Il demande à :

• collecter tout contenu que vous créez sur la plateforme – même si vous ne le publiez pas
• partager des informations avec Facebook si vous vous connectez de cette façon
• accéder à tous vos contacts téléphoniques ; connectez-vous à votre Wi-Fi ; connaître votre position exacte à l'aide du GPS
• gardez l'appareil allumé et démarrez automatiquement l'application lorsque l'appareil est allumé
• accéder au contenu de votre presse-papiers et à vos modèles de frappe, qui peuvent être utilisés pour la vérification d'identité.

Dois-je m'inquiéter de cette récolte de données ?

TikTok, comme beaucoup d'autres applications de médias sociaux, justifie son accès aux données personnelles par l'argument "pour mieux vous servir".

Mais, contrairement à de nombreuses autres applications de médias sociaux grand public, qui sont américaines, TikTok appartient à des Chinois. De nombreux experts en cybersécurité et gouvernements craignent que l'État chinois puisse militariser les informations personnelles en temps de conflit. Par exemple, ils pourraient utiliser vos données et vos préférences pour diffuser des informations erronées ou entreprendre de l'espionnage industriel.

Il est important de souligner que ces types de risques de sécurité TikTok sont en grande partie théoriques. Au moins pour l'instant.

Dois-je autoriser mon personnel à accéder à TikTok sur les téléphones professionnels ?

Cela dépend des politiques de votre lieu de travail. Si vous n'autorisez pas les autres médias sociaux, évidemment non.

Si vous le faites et que vous voulez laisser les gens utiliser TikTok - peut-être êtes-vous une agence multimédia et c'est important pour votre travail - alors faites preuve de diligence raisonnable pour minimiser sa capacité à collecter des données (voir la section suivante).

La vue d'Intersys est la suivante : à moins qu'il n'y ait une raison très particulière pour laquelle vos employés ont besoin d'accéder à TikTok au travail, laissez-les tranquilles. Nous pensons que sa méthodologie et ses antécédents suggèrent jusqu'à présent qu'il s'agit d'un risque potentiel pour la sécurité.

Je vais utiliser TikTok mais je reconnais également les risques de sécurité de TikTok. Que dois-je faire pour rester aussi sûr que possible ?

Prenez ces mesures immédiates pour minimiser la quantité de données que TikTok peut collecter à partir de votre appareil. Beaucoup sont basés sur la méthodologie fondamentale de la cybersécurité appelée « principe du moindre privilège » (PoLP). Ne donnez aux personnes/applications que les informations dont elles ont besoin sur vous en ligne pour effectuer une tâche - rien de plus.

N'oubliez pas, cependant, que la limitation de vos autorisations peut affecter votre capacité à accéder à toutes les fonctionnalités de l'application.

• Ne partagez pas vos contacts téléphoniques avec TikTok. Vérifiez vos paramètres actuels en cliquant sur votre profil/Moi, puis sur les trois lignes dans le coin supérieur droit. Cliquez sur Paramètres et confidentialité > Confidentialité > Synchroniser les contacts. Assurez-vous que le bouton est éteint (gris et non vert).
• Ne liez pas TikTok à votre compte Facebook.Suivez les paramètres de chemin ci-dessus pour > Confidentialité et désactivez Synchroniser les amis Facebook.
• Minimiser la personnalisation des annonces. Pour limiter la personnalisation des publicités en fonction de votre comportement, accédez à Paramètres et confidentialité > Confidentialité > Personnalisation des publicités et désactivez Utilisation de l'activité hors TikTok pour le ciblage publicitaire.
• Gardez votre profil anonyme.
  • Inscrivez-vous avec un alias de courrier indésirable non lié à vos autres comptes ou contacts importants. Il est facile d'en créer un sur Gmail.
  • Vous n'avez pas besoin d'ajouter votre numéro de téléphone pour créer un compte, alors ne le faites pas !
  • N'utilisez pas votre nom complet dans votre profil - ou un nom que vous utilisez couramment sur d'autres comptes - à moins qu'il n'y ait une très bonne raison (par exemple, votre "marque" personnelle est disponible en ligne et votre compte TikTok y contribue). Dans la mesure du possible, rendez-vous unique et anonyme.
• Définissez votre compte sur privé.Si vous utilisez TikTok pour un groupe sélectionné – pas des étrangers – passez en mode privé. Accédez à Paramètres> Confidentialité> activez le basculement de compte privé.
• Empêchez les personnes que vous connaissez de vous trouver.Si vous ne voulez pas que les personnes que vous connaissez reçoivent des suggestions "Suivre" pour votre compte, accédez à Paramètres et confidentialité> Confidentialité> Suggérer votre compte à d'autres et désactivez.
• N'aimez pas les choses et ne suivez pas les gens.Faire les deux donne à l'algorithme une énorme quantité d'informations sur vous. Mais n'oubliez pas que votre page sera toujours personnalisée si vous évitez ces actions - l'application basera ce qu'elle vous montre sur des facteurs démographiques et sur la durée de votre visionnage de vidéos.

Enfin, vous pouvez parcourir TikTok sans avoir de compte du tout. Bien que l'application collecte toujours certaines informations telles que votre adresse IP et les informations de votre appareil, le fait de ne pas avoir de compte réduit considérablement ce à quoi elle peut accéder.

Intersys est un fournisseur spécialisé dans la cybersécurité offrant tout, du completservices d'opération de sécuritéà une réponse rapide et ponctuelle aux organisations menacées. Nous offrons également des modules de formation en cybersécurité aux organisations qui incluent une utilisation intelligente des médias sociaux. Pour en savoir plus, contactez dès maintenant un expert en cybersécurité d'Intersys.