Filou, Tiktok a exploité une faille d’Android pour collecter des adresses MAC

Des adresses collectées sur une période de 15 mois...

 

À des fins publicitaires, TikTok a tiré parti pendant au moins 15 mois d'une faille permettant, sous Android, de collecter les adresses MAC des utilisateurs à leur insu. Une « astuce » que l'application chinoise a toutefois cessé d'exploiter en novembre dernier.

À leur insu, les utilisateurs de TikTok sur Android transmettaient leur adresse MAC à l’application

À leur insu, les utilisateurs de TikTok sur Android transmettaient leur adresse MAC à l’application // Source : Solen Feyissa – Unsplash

C’est à l’aide d’une méthode que le Wall Street Journal décrit comme « détournée » que TikTok a glané pendant au moins 15 mois les adresses MAC de ses utilisateurs sous Android, et ce, sans leur consentement. Une pratique à laquelle la plateforme de partage vidéo chinoise n’a discrètement mis fin qu’à compter du 18 novembre 2019, rapporte le quotidien new-yorkais.

Fliquer en douce l’adresse MAC pour cibler durablement l’utilisateur

Pour rappel, l’adresse MAC est un identifiant propre à la carte réseau de chaque appareil connecté au web (qu’il s’agisse d’un smartphone, d’une tablette, d’un ordinateur ou encore d’une console de jeu). Par essence unique, elle permet d’identifier un utilisateur de manière persistante, et ne peut être ni réinitialisée ni modifiée.

Collecter l’adresse MAC d’un utilisateur représente par conséquent une véritable aubaine d’un point de vue publicitaire, puisqu’elle permet « d’établir des profils de comportement du consommateur qui persistent malgré toute mesure de protection de la vie privée », détaille 9to5Google. Seule solution pour mettre un terme à ce suivi ? Changer de smartphone.

Des pratiques formellement interdites par Google en 2015

Dissimulée, la collecte d’adresses MAC opérée par TikTok est formellement interdite par Google. Depuis 2015, la firme défend en effet les applications distribuées sur son Play Store de collecter des « des informations personnelles identifiables ou associées à un dispositif d’identification permanent ». Cette mesure inclut sans doute possible les adresses MAC et IMEI.

Une règle dont TikTok a visiblement décidé de faire fi. Pire, le Wall Street Journal rapporte que la plateforme aurait utilisé « une couche de chiffrement supplémentaire et inhabituelle » afin de dissimuler les données collectées auprès des utilisateurs de son application sous Android. Toujours selon le quotidien, ce chiffrement ne présenterait aucune plus-value particulière en termes de sécurité. Elle aurait dans les faits surtout pour objectif de rendre difficile à des tiers l’examen des informations réclamées par l’application et transmises (en l’occurrence à son insu) par l’utilisateur.

Contactés par le Wall Street Journal, les représentants de l’application ont indiqué, sans en dire plus, que la « version actuelle de TikTok ne collecte pas d’adresses MAC ». Google a pour sa part assuré se livrer à un examen du rapport soumis par le média américain.

Les derniers articles