En août 2021 Tic tac a reçu une plainte d’un utilisateur britannique qui a signalé qu’un homme “s’exposait et jouait avec lui-même” dans un flux en direct qu’elle hébergeait sur l’application vidéo. Elle a également décrit les abus passés qu’elle a subis.
Pour résoudre la plainte, les employés de TikTok ont partagé l’incident sur un outil de messagerie et de collaboration interne appelé Lark, selon des documents de l’entreprise obtenus par le New York Times. Les détails personnels de la femme britannique – y compris sa photo, son pays de résidence, son adresse de protocole Internet, son appareil et son identifiant d’utilisateur – ont également été rendus publics sur la plate-forme, qui est similaire à Slack et Microsoft Teams.
Ses informations n’étaient qu’un élément des données utilisateur TikTok partagées sur Lark, qui sont utilisées chaque jour par des milliers d’employés du propriétaire chinois de l’application. ByteDancey compris ceux de Chine. Selon des documents obtenus par le Times, les permis de conduire des utilisateurs américains étaient également accessibles sur la plateforme, ainsi que le contenu potentiellement illégal de certains utilisateurs, comme le matériel d’abus sexuel d’enfants. Dans de nombreux cas, les informations étaient disponibles dans les “groupes” de Lark – essentiellement des salons de discussion d’employés – avec des milliers de membres.
La quantité de données d’utilisateurs sur Lark a inquiété certains employés de TikTok, en particulier parce que les employés de ByteDance en Chine et ailleurs pouvaient facilement voir le matériel, selon des rapports internes et quatre employés actuels et anciens. Depuis au moins juillet 2021, plusieurs membres du personnel de sécurité ont averti les dirigeants de ByteDance et TikTok des risques associés à la plateforme, selon des documents et des employés actuels et anciens.
“Les employés basés à Pékin devraient-ils posséder des groupes contenant des données utilisateur secrètes”, a demandé un employé de TikTok dans une note interne en juillet dernier.
Les soumissions d’utilisateurs sur Lark soulèvent des questions sur les pratiques de TikTok en matière de données et de confidentialité et montrent comment il est lié à ByteDance, tout comme l’application vidéo fait l’objet d’un examen de plus en plus minutieux de ses risques de sécurité potentiels et de ses liens avec la Chine. La semaine dernière, le gouverneur du Montana a signé le projet de loi interdiction de TikTok dans l’état à partir du 1er janvier. L’application a également été interdite sur les universités et les agences gouvernementales et l’armée.
TikTok subit des pressions depuis des années pour fermer ses opérations aux États-Unis, craignant de fournir aux autorités chinoises des données sur les utilisateurs américains. Pour continuer à opérer aux États-Unis, TikTok a déposé l’année dernière plan L’administration Biden, surnommée Project Texas, a expliqué comment elle stockerait des informations sur les utilisateurs américains dans le pays et bloquerait les données des employés de ByteDance et TikTok en dehors des États-Unis.
TikTok a minimisé l’accès de ses employés en Chine aux données des utilisateurs américains. DANS audience du congrès en mars, PDG de TikTok, Shou Chew, a déclaré que les données étaient principalement utilisées par des ingénieurs en Chine à des “fins commerciales” et que la société avait des “protocoles d’accès aux données stricts” pour protéger les utilisateurs. Il a déclaré qu’une grande partie des informations sur les utilisateurs auxquelles les ingénieurs avaient accès étaient déjà publiques.
Les rapports internes et les communications de Lark semblent contredire les déclarations de M. Chew. Les données Lark de TikTok ont également été stockées sur des serveurs en Chine à la fin de l’année dernière, ont déclaré quatre employés actuels et anciens.
Les documents consultés par le Times comprenaient des dizaines de captures d’écran de rapports, de messages de chat et de commentaires du personnel sur Lark, ainsi que des vidéos et des sons de communications internes entre 2019 et 2022.
Alex Haurek, un porte-parole de TikTok, a qualifié les documents vus par le Times de “datés”. Il a déclaré qu’ils ne reflétaient pas avec précision “la manière dont nous traitons les données utilisateur protégées aux États-Unis ou les progrès que nous avons réalisés avec Project Texas”.
Il a ajouté que TikTok était en train de supprimer les données des utilisateurs américains qu’il avait collectées avant juin 2022, lorsqu’il a changé la façon dont il traitait les informations sur les utilisateurs américains et a commencé à envoyer ces données à des serveurs américains appartenant à un tiers, plutôt qu’à ses propres serveurs. de TikTok ou ByteDance.
La société n’a pas répondu aux questions sur le fait de savoir si les données de Lark étaient stockées en Chine. Elle a refusé de répondre aux questions sur l’implication d’employés chinois dans la création et le partage des données des utilisateurs de TikTok dans les groupes Lark, mais a déclaré que de nombreux salons de discussion avaient été “fermés l’année dernière suite à un examen des problèmes internes”.
Alex Stamos, directeur de l’Observatoire Internet de l’Université de Stanford, qui était l’ancien chef de la sécurité de l’information de Facebook, a déclaré que la sécurisation des données des utilisateurs dans toute l’organisation est le “projet technique le plus difficile” pour l’équipe de sécurité de la société de médias sociaux. Les problèmes de TikTok, a-t-il ajouté, sont aggravés par la propriété de ByteDance.
“Lark vous montre que tous les processus back-end sont supervisés par ByteDance”, a-t-il déclaré. “TikTok est un placage mince sur ByteDance.”
ByteDance a introduit Lark en 2017. L’outil, qui n’a qu’un équivalent chinois connu sous le nom de Feishu, est utilisé par toutes les filiales de ByteDance, y compris TikTok et ses 7 000 employés aux États-Unis. Lark propose une plate-forme de chat, des fonctionnalités de vidéoconférence, de gestion des tâches et de collaboration sur les documents. Lorsque M. Chew a été interrogé sur Lark lors d’une audience en mars, il a déclaré que c’était comme “n’importe quel autre outil de messagerie instantanée” pour les entreprises, en le comparant à Slack.
Lark a été utilisé pour résoudre des problèmes de compte TikTok individuels et partager des documents contenant des informations personnellement identifiables depuis au moins 2019, selon des documents obtenus par The Times.
En juin 2019, un employé de TikTok a partagé une photo du permis de conduire d’une femme du Massachusetts sur Lark. Une femme a envoyé une photo à TikTok pour vérifier son identité. L’image – qui comprenait son adresse, sa date de naissance, sa photo et son numéro de permis de conduire – a été envoyée à un groupe interne Lark de plus de 1 100 personnes impliquées dans l’interdiction et le déblocage de comptes.
Le permis de conduire, ainsi que les passeports et les cartes d’identité de personnes originaires de pays comme l’Australie et l’Arabie saoudite, sont accessibles sur Lark depuis l’année dernière, selon des documents vus par le Times.
Lark a également exposé du matériel d’utilisateur sur l’abus sexuel d’enfants. Dans une interview d’octobre 2019, le personnel de TikTok a discuté de l’interdiction de certains comptes qui partageaient le contenu de filles de plus de trois ans qui étaient seins nus. Les travailleurs ont également publié des photos sur Lark.
M. Haurek, un porte-parole de TikTok, a déclaré que le personnel avait pour instruction de ne jamais partager ce contenu et de le signaler à une équipe interne dédiée à la sécurité des enfants.
Les employés de TikTok ont soulevé des questions sur de tels incidents. Dans une note interne en juillet dernier, un employé a demandé s’il existait des règles pour le traitement des données des utilisateurs chez Lark. Will Farrell, responsable par intérim de la sécurité des données américaines de TikTok, qui supervisera les données des utilisateurs aux États-Unis dans le cadre du projet texan, a déclaré : “Aucune politique pour le moment”.
Un ingénieur principal en sécurité chez TikTok a également déclaré l’automne dernier qu’il pourrait y avoir des milliers de groupes Lark qui gèrent mal les données des utilisateurs. Dans un enregistrement obtenu par le Times, l’ingénieur a déclaré que TikTok devait déplacer des données “hors de Chine et déplacer Lark hors de Singapour”. TikTok a son siège à Singapour et à Los Angeles.
M. Haurek a qualifié les commentaires de l’ingénieur d'”inexacts” et a déclaré que TikTok avait examiné des cas où des groupes de Lark avaient potentiellement mal géré les données des utilisateurs et avaient pris des mesures pour y remédier. Il a déclaré que la société avait un nouveau processus de traitement des contenus sensibles et avait introduit de nouvelles limites sur la taille des groupes Lark.
La division de la confidentialité et de la sécurité de TikTok a subi des réorganisations et des départs au cours de la dernière année, ce qui, selon certains employés, a ralenti ou repoussé les projets de confidentialité et de sécurité à un moment critique.
Roland Cloutier, expert en cybersécurité et vétéran de l’U.S. Air Force, a quitté ses fonctions de chef de l’organisation de sécurité mondiale de TikTok l’année dernière et une partie de son unité a été placée dans une équipe axée sur la confidentialité dirigée par Yujun Chen, connu de ses collègues sous le nom de Woody, trois actuels et dit d’anciens employés à un cadre basé en Chine, qui a travaillé chez ByteDance pendant des années. M. Chen s’est auparavant concentré sur l’assurance qualité des logiciels.
M. Haurek a déclaré que M. Chen avait “une ingénierie technique, des données et des produits approfondie” et que son équipe relevait du chef californien. Il a déclaré que TikTok avait plusieurs équipes travaillant sur la confidentialité et la sécurité, dont plus de 1 500 employés dans l’équipe américaine de sécurité des données, et qu’il avait dépensé plus de 1,5 milliard de dollars pour mettre en œuvre le projet texan.
ByteDance et TikTok n’ont pas précisé quand le projet texan sera terminé. Dans ce cas, a déclaré TikTok, les communications impliquant des données d’utilisateurs des États-Unis auront lieu sur un “outil de collaboration interne” distinct.
Aaron Lapin reportage contribué. Alain Delaquerière contribué à la recherche.