Au début du mois d’août, Felix Krause a beaucoup fait parler de lui. En analysant le code du navigateur de Meta, présent dans Facebook, Instagram, Messenger et toutes les autres applications du groupe, le développeur était arrivé à la conclusion que Meta nous espionnait, souvent en violant les règles d’utilisation d’iOS et d’Android. Une dénonciation qui n’avait pas plu à Meta, qui avait tenté d’expliquer par la voix de ses porte-parole que le développeur se trompait. Lui-même a reconnu quelques erreurs, même si le navigateur Meta traque bien plus de données que Safari ou Chrome.
Satisfait de ses découvertes, Felix Krause a décidé d’aller plus loin. Il a créé InAppBrowser, un outil chargé d’analyser le code JavaScript injecté dans un navigateur. Cela lui a notamment permis que TikTok va encore plus loin que les autres.
TikTok peut lire vos mots de passe
Avec son nouvel outil, Felix Krause est allé surveiller certaines des applications les plus populaires, comme TikTok, Instagram, Messenger, Facebook, Amazon, Snapchat et Robinhood (une application de bourse). Seules les deux dernières sont respectueuses de la vie privée, les autres ont implémenté du code pour obtenir des informations qu’ils n’auraient pas avec Safari, Chrome ou un autre navigateur officiel.
Les applications de Meta et de ByteDance (TikTok) ont un point commun : elles implémentent du code JavaScript pour obtenir des informations sur votre navigation. Dans le cas de TikTok, qui a confirmé l’existence de ce code à Forbes, la pratique peut même être dangereuse. Le code intégré au navigateur du réseau social préféré des jeunes surveille votre clavier, y compris lorsque vous insérez un mot de passe ou des coordonnées bancaires. Une pratique particulièrement problématique pour une application qui a pour ambition de devenir un géant du shopping, qui risque donc de vous inciter à donner votre carte bleue. TikTok est aussi informé de tous les liens/images sur lesquels vous cliquez, ce qui peut paraître logique. Enfin, dernier reproche fait au groupe chinois, TikTok ne met pas de bouton en avant pour ouvrir Safari ou Chrome. L’option est cachée.
Que faut-il faire avec cette information ? Notre recommandation est simple : ouvrez toujours la page en cours d’utilisation dans Safari ou Chrome, même si le faire prend parfois du temps. Même si rien ne dit que TikTok utilise ces données (il est même probable que ce n’est pas le cas, le développeur dit juste que c’est techniquement possible), autant passer par des navigateurs vraiment sécurisés.
Quid d’autres géants comme Twitter, WhatsApp ou Google (Gmail, Maps…), pas cités dans l’étude ? C’est normal, ils utilisent automatiquement Safari ou Chrome et n’embarquent pas de navigateur intégré. Avec eux, il n’y a aucun risque.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
