À l’intérieur de la façon dont TikTok partage les données des utilisateurs

En août 2021, TIC Tac a reçu une plainte d’un utilisateur britannique, qui a signalé qu’un homme s’était “exposé et joué avec lui-même” sur un flux en direct qu’elle avait hébergé sur l’application vidéo. Elle a également décrit les abus passés qu’elle avait subis.

Pour répondre à la plainte, les employés de TikTok ont ​​​​partagé l’incident sur un outil de messagerie et de collaboration interne appelé Lark, selon des documents de l’entreprise obtenus par le New York Times. Les données personnelles de la femme britannique – y compris sa photo, son pays de résidence, son adresse de protocole Internet, son appareil et ses identifiants d’utilisateur – ont également été publiées sur la plate-forme, qui est similaire à Slack et Microsoft Teams.

Ses informations n’étaient qu’une partie des données utilisateur TikTok partagées sur Lark, qui sont utilisées quotidiennement par des milliers d’employés du propriétaire chinois de l’application, ByteDance, y compris par ceux de Chine. Selon les documents obtenus par le Times, les permis de conduire des utilisateurs américains étaient également accessibles sur la plateforme, tout comme le contenu potentiellement illégal de certains utilisateurs, comme le matériel d’abus sexuel d’enfants. Dans de nombreux cas, les informations étaient disponibles dans des “groupes” Lark – essentiellement des salons de discussion d’employés – avec des milliers de membres.

La profusion de données d’utilisateurs sur Lark a alarmé certains employés de TikTok, d’autant plus que les employés de ByteDance en Chine et ailleurs pouvaient facilement voir le matériel, selon des rapports internes et quatre employés actuels et anciens. Depuis au moins juillet 2021, plusieurs employés de la sécurité ont averti les dirigeants de ByteDance et de TikTok des risques liés à la plateforme, selon les documents et les travailleurs actuels et anciens.

“Les employés basés à Pékin devraient-ils être propriétaires de groupes contenant des données secrètes” sur les utilisateurs, a demandé un employé de TikTok dans un rapport interne en juillet dernier.

Le matériel utilisateur sur Lark soulève des questions sur les pratiques de TikTok en matière de données et de confidentialité et montre à quel point il est lié à ByteDance, tout comme l’application vidéo fait l’objet d’un examen de plus en plus minutieux de ses risques de sécurité potentiels et de ses liens avec la Chine. La semaine dernière, le gouverneur du Montana a signé un projet de loi interdire TikTok dans l’état depuis le 1er janvier. L’application a également été interdite à les universités et les agences gouvernementales et par l’armée.

TikTok subit des pressions depuis des années pour boucler ses opérations américaines en raison des craintes qu’il puisse fournir des données sur les utilisateurs américains aux autorités chinoises. Pour continuer à opérer aux États-Unis, TikTok a soumis l’année dernière un plan à l’administration Biden, appelée Project Texas, expliquant comment elle stockerait les informations des utilisateurs américains à l’intérieur du pays et bloquerait les données des employés de ByteDance et de TikTok en dehors des États-Unis.

TikTok a minimisé l’accès de ses employés basés en Chine aux données des utilisateurs américains. Dans un audience du congrès en mars, Le directeur général de TikTok, Shou Chew, a déclaré que ces données étaient principalement utilisées par des ingénieurs en Chine à des “fins commerciales” et que la société disposait de “protocoles d’accès aux données rigoureux” pour protéger les utilisateurs. Il a déclaré qu’une grande partie des informations sur les utilisateurs disponibles pour les ingénieurs était déjà publique.

Les rapports internes et les communications de Lark semblent contredire les déclarations de M. Chew. Les données Lark de TikTok étaient également stockées sur des serveurs en Chine à la fin de l’année dernière, ont déclaré les quatre employés actuels et anciens.

Les documents consultés par le Times comprenaient des dizaines de captures d’écran de rapports, de messages de chat et de commentaires d’employés sur Lark, ainsi que des vidéos et des sons de communications internes, couvrant la période de 2019 à 2022.

Alex Haurek, un porte-parole de TikTok, a qualifié les documents vus par le Times de “datés”. Il a dit qu’ils ne décrivaient pas avec précision “comment nous traitons les données protégées des utilisateurs américains, ni les progrès que nous avons réalisés dans le cadre du projet Texas”.

Il a ajouté que TikTok était en train de supprimer les données des utilisateurs américains qu’il avait collectées avant juin 2022, lorsqu’il a changé la façon dont il traitait les informations sur les utilisateurs américains et a commencé à envoyer ces données à des serveurs basés aux États-Unis appartenant à un tiers plutôt qu’à ceux appartenant. par TikTok ou ByteDance.

La société n’a pas répondu aux questions sur le fait de savoir si les données de Lark étaient stockées en Chine. Il a refusé de répondre aux questions sur l’implication des employés basés en Chine dans la création et le partage des données des utilisateurs de TikTok dans les groupes Lark, mais a déclaré que de nombreux salons de discussion avaient été “fermés l’année dernière après avoir examiné les préoccupations internes”.

Alex Stamos, directeur de l’Observatoire Internet de l’Université de Stanford et ancien responsable de la sécurité de l’information de Facebook, a déclaré que la sécurisation des données des utilisateurs dans une organisation était “le projet technique le plus difficile” pour l’équipe de sécurité d’une entreprise de médias sociaux. Les problèmes de TikTok, a-t-il ajouté, sont aggravés par la propriété de ByteDance.

“Lark vous montre que tous les processus back-end sont supervisés par ByteDance”, a-t-il déclaré. “TikTok est un placage mince sur ByteDance.”

ByteDance a introduit Lark en 2017. L’outil, qui a un équivalent chinois uniquement connu sous le nom de Feishu, est utilisé par toutes les filiales de ByteDance, y compris TikTok et ses 7 000 employés américains. Lark propose une plate-forme de discussion, des fonctionnalités de vidéoconférence, de gestion des tâches et de collaboration sur les documents. Lorsque M. Chew a été interrogé sur Lark lors de l’audience de mars, il a déclaré que c’était comme “n’importe quel autre outil de messagerie instantanée” pour les entreprises et l’a comparé à Slack.

Lark a été utilisé pour gérer les problèmes de compte TikTok individuels et partager des documents contenant des informations personnellement identifiables depuis au moins 2019, selon les documents obtenus par The Times.

En juin 2019, un employé de TikTok a partagé une image sur Lark du permis de conduire d’une femme du Massachusetts. La femme avait envoyé la photo à TikTok pour vérifier son identité. L’image – qui comprenait son adresse, sa date de naissance, sa photo et son numéro de permis de conduire – a été publiée sur un groupe interne de Lark avec plus de 1 100 personnes qui s’occupaient de l’interdiction et de la réouverture des comptes.

Le permis de conduire, ainsi que les passeports et les cartes d’identité de personnes originaires de pays comme l’Australie et l’Arabie saoudite, étaient accessibles sur Lark depuis l’année dernière, selon les documents consultés par le Times.

Lark a également exposé le matériel d’abus sexuels sur enfants des utilisateurs. Lors d’une conversation d’octobre 2019, les employés de TikTok ont ​​discuté de l’interdiction de certains comptes qui partageaient le contenu de filles de plus de 3 ans qui étaient seins nus. Les travailleurs ont également publié les images sur Lark.

M. Haurek, le porte-parole de TikTok, a déclaré que les employés avaient pour instruction de ne jamais partager un tel contenu et de le signaler à une équipe interne spécialisée dans la sécurité des enfants.

Les employés de TikTok ont ​​soulevé des questions sur de tels incidents. Dans un rapport interne en juillet dernier, un travailleur a demandé s’il existait des règles pour le traitement des données des utilisateurs dans Lark. Will Farrell, le responsable de la sécurité par intérim de la sécurité des données américaines de TikTok, qui supervisera les données des utilisateurs américains dans le cadre du projet Texas, a déclaré : “Aucune politique pour le moment”.

Un ingénieur principal en sécurité chez TikTok a également déclaré l’automne dernier qu’il pourrait y avoir des milliers de groupes Lark qui gèrent mal les données des utilisateurs. Dans un enregistrement, obtenu par le Times, l’ingénieur a déclaré que TikTok devait déplacer les données “hors de Chine et faire sortir Lark de Singapour”. TikTok a son siège à Singapour et à Los Angeles.

M. Haurek a qualifié les commentaires de l’ingénieur d ‘”inexacts” et a déclaré que TikTok avait examiné les cas où les groupes Lark manipulaient potentiellement mal les données des utilisateurs et avaient pris des mesures pour y remédier. Il a déclaré que la société disposait d’un nouveau processus de traitement des contenus sensibles et avait imposé de nouvelles limites à la taille des groupes Lark.

La division de la confidentialité et de la sécurité de TikTok a subi des réorganisations et des départs au cours de l’année écoulée, ce qui, selon certains employés, a ralenti ou mis de côté les projets de confidentialité et de sécurité à un moment critique.

Roland Cloutier, expert en cybersécurité et vétéran de l’US Air Force, a démissionné l’an dernier de la tête de l’organisation de sécurité mondiale de TikTok, et une partie de son unité a été placée dans une équipe axée sur la confidentialité dirigée par Yujun Chen, connu de ses collègues sous le nom de Woody, un cadre basé en Chine qui travaille chez ByteDance depuis des années, ont déclaré trois employés actuels et anciens. M. Chen s’est auparavant concentré sur l’assurance qualité des logiciels.

M. Haurek a déclaré que M. Chen possédait «une expertise approfondie en ingénierie technique, de données et de produits» et que son équipe relevait d’un cadre en Californie. Il a déclaré que TikTok avait plusieurs équipes travaillant sur la confidentialité et la sécurité, dont plus de 1 500 employés dans son équipe américaine de sécurité des données, et qu’il avait dépensé plus de 1,5 milliard de dollars pour mener à bien le projet Texas.

ByteDance et TikTok n’ont pas précisé quand le projet Texas sera terminé. Lorsque ce sera le cas, a déclaré TikTok, les communications impliquant des données d’utilisateurs américains auront lieu sur un “outil de collaboration interne” distinct.

Aaron Krolik reportage contribué. Alain Delaquérière contribué à la recherche.