TikTok : des employés révèlent de graves failles de sécurité dans ses centres de données, un pas de plus vers l’interdiction ?

Ce sont des révélations qui mettent encore davantage TikTok en difficulté : ses centres de données seraient de véritables moulins. Ce sont 7 employés du réseau social qui affirment que ces centres sont le lieu de graves manquements à la sécurité des données.

TikTok Interdiction Sécurité failles centres de données

Depuis des années, TikTok tente de rassurer le gouvernement américain en affirmant que les données privées de ses utilisateurs sont sécurisées et à l’abri de toute influence chinoise. Ces données sont stockées dans un ensemble de centres de données situés aux États-Unis, dans l’état de Virginie du Nord. Pourtant, Forbes révèle dans une enquête de graves failles de sécurité concernant les serveurs de TikTok aux États-Unis. Le média a mené son enquête en s’entretenant avec sept employés actuels et anciens sous couvert de l’anonymat et en analysant plus de 60 documents, photos et vidéos provenant des centres de données du réseau social.

Les serveurs de TikTok, plus accessibles qu’un moulin

Comme de nombreux géants de la technologie, TikTok loue des espaces dans de grands centres de données en Virginie du Nord. Les salles des serveurs de TikTok dans ces centres sont gérées en partie par son entreprise-mère, ByteDance, et en partie par des travailleurs contractuels des entreprises de gestion de centres de données. Pour assurer leur sécurité, TikTok affirme que son “centre de données en Virginie comprend des contrôles de sécurité physiques et logiques tels que des points d’entrée protégés, des pare-feu et des technologies de détection d’intrusion.

Cependant, sept employés actuels et anciens interrogés par Forbes déclarent que la sécurité sur les sites est variable voire laxiste. Contrairement à la politique de l’entreprise, ils affirment que des visiteurs extérieurs non-accompagnés ont pu brancher des clés USB sur les serveurs de l’entreprise.

Ce sont aussi les machines utilisées pour effacer et détruire les disques durs obsolètes qui sont souvent hors service, obligeant le personnel à transporter les disques dans d’autres centres de données pour qu’ils y soient recyclés. Ces piles de disques durs étaient parfois laissées sans surveillance dans les couloirs des centres, et un employé affirme que “toute personne mal intentionnée aurait pu simplement les prendre, et nous ne l’aurions pas su“. Ces problèmes seraient dus au fait que TikTok nécessitait une augmentation rapide de sa capacité de stockage de données, au détriment de la sécurité de ses centres de données.

Des documents suggèrent également que les opérations des centres de données de TikTok sont toujours étroitement liées aux activités de ByteDance en Chine, contrairement à ce qu’affirme le réseau social en Europe et aux États-Unis. Entre autres fournisseurs, les centres de données utilisent des serveurs produits par Inspur, une société d’électronique soupçonnée d’être être contrôlée par l’armée chinoise.

Pire encore, certains documents montrent également que, pas plus tard que la semaine dernière, des ordres de tâches à effectuer sur les serveurs ont été envoyées aux techniciens des centres de données par Beijing ByteDance Technology. Cette filiale de ByteDance a pour particularité d’être partiellement détenue par le gouvernement chinois, dont TikTok a toujours affirmé qu’il n’exerçait aucun contrôle sur ses opérations.

TikTok fait face à toujours plus de difficultés

Ces révélations arrivent à un moment critique pour TikTok. Accusée d’être l’espion de la Chine, l’application pourrait bientôt être interdite aux États-Unis, car elle soutirerait des données précieuses sur les citoyens américains ou serait utilisée par la Chine pour influencer les tendances politiques. Le gouvernement américain exige ainsi que Bytedance vendent TikTok à une entreprise américaine, sous peine d’être interdite.

L’Union Européenne suit le même mouvement, notamment en France où TikTok est désormais interdit sur les téléphones des fonctionnaires.

La semaine dernière c’était également Bloomberg qui sortait une enquête sur l’algorithme de TikTok qui incite des adolescents vulnérables à se suicider. Bref, rien ne va plus pour le réseau social chinois.

La réponse de TikTok

Sous la menace de l’interdiction aux Etats-Unis, le réseau social a affirmé qu’il retirerait les données privées des utilisateurs américains de ses serveurs, pour les isoler dans un ensemble de centres de données appartenant à Oracle. Malgré ces belles déclarations d’intention, le PDG de TikTok déclarait le mois dernier devant une commission parlementaire que les données des utilisateurs américains se trouvaient encore aujourd’hui dans ses serveurs de Virginie.

En réaction à l’enquête de Forbes, TikTok a reconnu utiliser des serveurs Inspur, mais l’application affirme qu’elle ne s’est “plus approvisionné auprès de ce fournisseur depuis un certain temps“, tout en pointant que Inspur a également travaillé avec d’autres grandes entreprises américaines, dont Microsoft, IBM ou Intel.

À lire : Ce filtre TikTok inquiète les professionnels : « même avec la chirurgie esthétique, vous n’aurez jamais ce rendu »

L’entreprise explique aussi que les ordres reçu de Beijing ByteDance Technology (sa filiale partiellement détenue par le gouvernement chinois) sont “un artefact d’un système de billetterie“, qui “ne fournit aucun accès aux données des utilisateurs” et donc que Beijing ByteDance Technology “ne participe pas à la gestion, à l’exploitation ou au contrôle de nos centres de données“. Encore une fois, l’entreprise est sur la défensive :

“Au cours des dernières années, nous avons augmenté nos investissements dans le personnel, les processus et la technologie pour aider à protéger notre communauté, y compris la mise en place d’une équipe dédiée aux opérations du centre de données, à la maintenance et à la conformité.”

Source : Forbes