Une fuite TikTok montre que les données des utilisateurs sont consultées en Chine

Une fuite audio de 80 réunions internes TikTok montre que les données des utilisateurs américains ont été consultées à plusieurs reprises depuis la Chine.

« J’ai l’impression qu’avec ces outils, il y a une backdoor pour accéder aux données des utilisateurs dans presque tous », a déclaré un auditeur externe engagé pour aider TikTok à fermer l’accès chinois aux informations sensibles, comme les anniversaires et les numéros de téléphone des Américains.

Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu’en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l’ancien président Donald Trump à menacer d’interdire l’application aux États-Unis. .

Les enregistrements, qui ont été examinés par BuzzFeed News, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines entre septembre 2021 et janvier 2022, à tout le moins. Malgré le témoignage sous serment d’un dirigeant de TikTok lors d’une audience du Sénat d’octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n’avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les bandes.

« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d’une réunion en septembre 2021. Lors d’une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ». (Alors que de nombreux employés se sont présentés par leur nom et leur titre dans les enregistrements, BuzzFeed News ne nomme personne pour protéger leur vie privée.)

Les enregistrements vont de réunions en petits groupes avec des chefs d’entreprise et des consultants à des présentations politiques à main levée et sont corroborés par des captures d’écran et d’autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d’employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment signalé, brossant un tableau riche des défis auxquels l’application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.

En réponse à une liste exhaustive d’exemples et de questions sur l’accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité. des données des utilisateurs américains. C’est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses. ByteDance n’a pas fourni de commentaire supplémentaire.

« Tout se voit en Chine. »

En 2019, le Comité des investissements étrangers aux États-Unis a commencé à enquêter sur les implications pour la sécurité nationale de la collecte de données américaines par TikTok. Et en 2020, le président de l’époque, Donald Trump, a menacé d’interdire complètement l’application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d’informations personnelles sur les utilisateurs américains de TikTok. La « collecte de données de TikTok menace de permettre au Parti communiste chinois d’accéder aux informations personnelles et exclusives des Américains », a écrit Trump dans son décret. TikTok a déclaré qu’il n’avait jamais partagé les données des utilisateurs avec le gouvernement chinois et qu’il ne le ferait pas si on le lui demandait.

La plupart des réunions enregistrées se concentrent sur la réponse de TikTok à ces préoccupations. La société tente actuellement de rediriger ses canaux afin que certaines données «protégées» ne puissent plus circuler hors des États-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, la grande majorité des situations où le personnel basé en Chine a accédé aux données des utilisateurs américains était au service de l’objectif de Project Texas d’arrêter cet accès aux données.

Le projet Texas est la clé d’un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l’accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d’où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu’ils publient, ne seront pas incluses. (Divulgation : dans une vie antérieure, j’ai occupé des postes politiques chez Facebook et Spotify.) Oracle n’a pas répondu à une demande de commentaire. Le CFIUS a refusé de commenter.

Peu de temps avant la publication de cette histoire, TikTok a publié un article de blog annonçant qu’il avait changé «l’emplacement de stockage par défaut des données des utilisateurs américains» et qu’aujourd’hui, «100% du trafic des utilisateurs américains est acheminé vers Oracle Cloud Infrastructure. Nous utilisons toujours nos centres de données aux États-Unis et à Singapour pour la sauvegarde, mais à mesure que nous poursuivons notre travail, nous prévoyons de supprimer les données privées des utilisateurs américains de nos propres centres de données et de basculer entièrement vers les serveurs cloud Oracle situés aux États-Unis.

La crainte des législateurs que le gouvernement chinois puisse mettre la main sur les données américaines via ByteDance est enracinée dans la réalité que les entreprises chinoises sont soumises aux caprices du Parti communiste chinois autoritaire, qui a réprimé ses géants technologiques locaux au fil des ans. l’année dernière. Le risque est que le gouvernement puisse forcer ByteDance à collecter et à transmettre des informations comme une forme d ‘«espionnage de données».

Il y a cependant une autre préoccupation : que le soft power du gouvernement chinois puisse avoir un impact sur la façon dont les dirigeants de ByteDance ordonnent à leurs homologues américains d’ajuster les leviers du puissant algorithme « For You » de TikTok, qui recommande des vidéos à ses plus d’un milliard d’utilisateurs. Le sénateur Ted Cruz, par exemple, a qualifié TikTok de « cheval de Troie que le Parti communiste chinois peut utiliser pour influencer ce que les Américains voient, entendent et finalement pensent ».

L’accent étroit de Project Texas sur la sécurité d’une tranche spécifique de données d’utilisateurs américains, dont une grande partie que le gouvernement chinois pourrait simplement acheter auprès de courtiers en données s’il le souhaitait, ne répond pas aux craintes que la Chine, via ByteDance, puisse utiliser TikTok pour influencer les Américains. comportement commercial, culturel ou politique.

TikTok a déclaré dans des articles de blog et des déclarations publiques qu’il stockait physiquement toutes les données sur ses utilisateurs américains aux États-Unis, avec des sauvegardes à Singapour. Cela atténue certains risques – la société affirme que ces données ne sont pas soumises à la loi chinoise – mais cela ne tient pas compte du fait que les employés basés en Chine peuvent accéder aux données, selon les experts.

« L’emplacement physique n’a pas d’importance si les données sont toujours accessibles depuis la Chine », a déclaré Adam Segal, directeur du programme de politique numérique et cyberespace au Council on Foreign Relations, à BuzzFeed News dans un e-mail. Il a déclaré que « le problème serait que les données se retrouvent toujours entre les mains des services de renseignement chinois si les gens en Chine y avaient toujours accès ».

TikTok lui-même a reconnu son problème d’accès dans un article de blog de 2020. « Notre objectif est de minimiser l’accès aux données entre les régions afin que, par exemple, les employés de la région APAC, y compris la Chine, aient un accès très minimal aux données des utilisateurs de l’UE et des États-Unis », a écrit Roland Cloutier, directeur de la sécurité de l’information de TikTok.

Le projet Texas, une fois terminé, est censé combler cette lacune pour une quantité limitée de données. Mais de nombreux enregistrements audio révèlent les défis auxquels les employés ont été confrontés pour trouver et fermer les canaux permettant aux données de circuler des États-Unis vers la Chine.

« L’emplacement physique n’a pas d’importance si les données sont toujours accessibles depuis la Chine. »

Quatorze des enregistrements divulgués incluent des conversations avec ou à propos d’une équipe de consultants de Booz Allen Hamilton. L’un des consultants a déclaré aux employés de TikTok qu’ils avaient été recrutés en février 2021 pour aider à gérer la migration des données du projet Texas, et un directeur de TikTok a déclaré à d’autres employés de TikTok que les consultants relevaient du chef de la défense des données américaines de TikTok. Dans les enregistrements, les consultants étudient comment les données circulent via les outils internes de TikTok et ByteDance, y compris ceux utilisés pour la visualisation des données, la modération du contenu et la monétisation.

En septembre 2021, un consultant a déclaré à ses collègues : « J’ai l’impression qu’avec ces outils, il y a une porte dérobée pour accéder aux données des utilisateurs dans presque tous, ce qui est épuisant. »

Lorsqu’on lui a demandé de commenter, la porte-parole de Booz Allen Hamilton, Jessica Klenk, a déclaré que quelque chose à propos des informations ci-dessus était incorrect, mais a refusé de préciser de quoi il s’agissait. « [A]t ce stade, je ne suis pas en mesure de discuter davantage ou même de confirmer / nier notre relation avec un client. Mais je peux vous dire que ce que vous affirmez ici est inexact.

De plus, quatre des enregistrements contiennent des conversations dans lesquelles les employés responsables de certains outils internes ne pouvaient pas comprendre quelles parties de ces outils fonctionnaient. Lors d’une réunion en novembre 2021, un scientifique des données a expliqué que pour de nombreux outils, « personne n’a vraiment documenté, euh, comme, un mode d’emploi. Et il y a des éléments dans les outils dont personne ne sait à quoi ils servent.

La complexité des systèmes internes de l’entreprise et la manière dont ils permettent aux données de circuler entre les États-Unis et la Chine souligne les défis auxquels est confrontée l’équipe des services techniques des États-Unis, une nouvelle équipe d’ingénierie dédiée que TikTok a commencé à embaucher dans le cadre du projet Texas.

« Les ressortissants chinois ne sont en fait pas autorisés à adhérer. »

Pour démontrer l’indépendance de l’équipe USTS par rapport à la société chinoise ByteDance, un membre de l’équipe a déclaré à un collègue en janvier que « tout le monde ne peut pas rejoindre » l’équipe. « Les ressortissants chinois ne sont en fait pas autorisés à adhérer », a-t-il déclaré. (Un ancien employé qui a parlé à BuzzFeed News sous couvert d’anonymat par crainte de représailles a corroboré ce récit.) Lorsqu’on lui a demandé de commenter cette pratique, TikTok n’a pas répondu.

Mais alors que le mandat de cette équipe est de contrôler et de gérer l’accès aux données américaines sensibles, l’équipe USTS relève de la direction de ByteDance en Chine, comme l’a rapporté BuzzFeed News en mars. Lors d’une réunion enregistrée en janvier 2022, un spécialiste des données a déclaré à un collègue : « Je reçois mes instructions du bureau principal à Pékin. »

L’objectif de TikTok pour Project Texas est que toutes les données stockées sur le serveur Oracle soient sécurisées et non accessibles depuis la Chine ou ailleurs dans le monde. Cependant, selon sept enregistrements entre septembre 2021 et janvier 2022, l’avocat qui dirige les négociations de TikTok avec le CFIUS et d’autres précise que cela n’inclut que les données qui ne sont pas accessibles au public sur l’application, comme le contenu sous forme de brouillon, défini sur privé ou des informations telles que les numéros de téléphone et les anniversaires des utilisateurs qui sont collectées mais non visibles sur leurs profils. Un consultant de Booz Allen Hamilton a déclaré à ses collègues en septembre 2021 que ce qui compterait exactement comme des « données protégées » qui seront stockées sur le serveur Oracle était « toujours en cours de résolution d’un point de vue juridique ».

Lors d’une réunion enregistrée en janvier 2022, le responsable des opérations produit et utilisateur de l’entreprise a annoncé en riant que les identifiants uniques (UID) ne seront pas considérés comme des informations protégées dans le cadre de l’accord CFIUS : « La conversation continue d’évoluer », ont-ils déclaré. « Nous avons récemment découvert que les UID sont des choses auxquelles nous pouvons avoir accès, ce qui change un peu le jeu. »

Ce que le chef des opérations du produit et de l’utilisateur entendait par « UID » dans cette circonstance n’est pas clair – il pourrait faire référence à un identifiant pour un compte TikTok spécifique ou pour un appareil. Les UID d’appareils sont généralement utilisés par des sociétés de technologie publicitaire telles que Google et Facebook pour lier votre comportement à travers les applications, ce qui en fait un identifiant presque aussi important que votre nom.

Alors que TikTok continue de négocier sur les données qui seront considérées comme protégées, les enregistrements indiquent clairement que de nombreuses données d’utilisateurs américains – y compris des vidéos publiques, des biographies et des commentaires – ne seront pas exclusivement stockées sur le serveur Oracle. Au lieu de cela, ces données seront stockées dans le centre de données de la société en Virginie, qui peut rester accessible depuis les bureaux de ByteDance à Pékin même une fois le projet Texas terminé. Cela signifie que les employés de ByteDance basés en Chine pourraient continuer à avoir accès à des informations sur ce qui intéresse les utilisateurs américains de TikTok, des vidéos de chats aux convictions politiques.

Il semble également qu’Oracle donne à TikTok une flexibilité considérable dans la manière dont son centre de données sera géré. Dans une conversation enregistrée fin janvier, le responsable de la cyberdéfense mondiale et des données de TikTok a clairement indiqué que si Oracle fournirait l’espace de stockage physique des données pour le projet Texas, TikTok contrôlerait la couche logicielle : « Il est presque incorrect de l’appeler Oracle Cloud, parce qu’ils nous donnent juste du métal nu, et ensuite nous construisons nos machines virtuelles [machines virtuelles] dessus. Oracle n’a pas répondu à une demande de commentaire.

Pendant ce temps, l’avocat de la sécurité nationale de TikTok espère que la négociation aura des effets d’entraînement dans l’industrie technologique et au-delà. « Il va y avoir une loi sur la sécurité nationale qui émanera du Département du commerce », ont-ils déclaré, faisant référence à l’élaboration par l’administration Biden de réglementations pour régir les applications qui pourraient être exploitées « par des adversaires étrangers pour voler ou obtenir des données d’une autre manière ».

« La question est de savoir si l’entreprise ira assez loin. »

« La loi sera promulguée et codifiée dans les 18 prochains mois, je dirais – et c’est ainsi que chaque entreprise chinoise pourra opérer aux États-Unis », a déclaré l’avocat.

Les efforts de TikTok avec Project Texas pourraient finalement porter leurs fruits pour l’entreprise. Selon Graham Webster, chercheur au Cyber ​​Policy Center de Stanford, si TikTok s’engage à être « transparent et hautement intègre, et que les employés basés en Chine ne pourront pas accéder aux données des utilisateurs », alors « du point de vue de la sécurité des données, il devrait être possible de convaincre les sceptiques de bonne foi qu’ils en ont fait assez.

« La question est de savoir si l’entreprise ira assez loin et si les autorités sceptiques sont vraiment prêtes à être convaincues », a-t-il déclaré à BuzzFeed News.

Les détails de l’arrangement entre CFIUS, TikTok et Oracle étaient encore en discussion en janvier 2022, à la fin des enregistrements. Mais même si l’objectif du projet Texas est de boucler l’accès aux détails les plus sensibles sur les Américains qui existent sur les serveurs de TikTok, un employé de la politique avait des doutes qui empêcheront réellement les employés de ByteDance en Chine d’accéder à ces données.

« Il reste à voir si, à un moment donné, le produit et l’ingénierie peuvent encore trouver comment y accéder, car en fin de compte, ce sont leurs outils », ont-ils déclaré lors d’une réunion en septembre 2021. « Ils les ont tous construits en Chine. »

Sources