N’utilisez pas le navigateur web intégré de TikTok, il vous observe
Au début du mois d'août, Felix Krause a beaucoup fait parler de lui.
Satisfait de ses découvertes, Felix Krause a décidé d'aller plus loin. Il a créé InAppBrowser, un outil chargé d'analyser le code JavaScript injecté dans un navigateur. Cela lui a notamment permis que TikTok va encore plus loin que les autres.
TikTok peut lire vos mots de passe
Avec son nouvel outil, Felix Krause est allé surveiller certaines des applications les plus populaires, comme TikTok, Instagram, Messenger, Facebook, Amazon, Snapchat et Robinhood (une application de bourse). Seules les deux dernières sont respectueuses de la vie privée, les autres ont implémenté du code pour obtenir des informations qu'ils n'auraient pas avec Safari, Chrome ou un autre navigateur officiel.
Les applications de Meta et de ByteDance (TikTok) ont un point commun : elles implémentent du code JavaScript pour obtenir des informations sur votre navigation. Dans le cas de TikTok, qui a confirmé l'existence de ce code à Forbes, la pratique peut même être dangereuse. Le code intégré au navigateur du réseau social préféré des jeunes surveille votre clavier, y compris lorsque vous insérez un mot de passe ou des coordonnées bancaires. Une pratique particulièrement problématique pour une application qui a pour ambition de devenir un géant du shopping, qui risque donc de vous inciter à donner votre carte bleue. TikTok est aussi informé de tous les liens/images sur lesquels vous cliquez, ce qui peut paraître logique. Enfin, dernier reproche fait au groupe chinois, TikTok ne met pas de bouton en avant pour ouvrir Safari ou Chrome. L'option est cachée.
Que faut-il faire avec cette information ? Notre recommandation est simple : ouvrez toujours la page en cours d'utilisation dans Safari ou Chrome, même si le faire prend parfois du temps. Même si rien ne dit que TikTok utilise ces données (il est même probable que ce n'est pas le cas, le développeur dit juste que c'est techniquement possible), autant passer par des navigateurs vraiment sécurisés.
Quid d'autres géants comme Twitter, WhatsApp ou Google (Gmail, Maps…), pas cités dans l'étude ? C'est normal, ils utilisent automatiquement Safari ou Chrome et n'embarquent pas de navigateur intégré. Avec eux, il n'y a aucun risque.