Les défaillances de sécurité du datacenter de Tik Tok aux Etats-Unis

Une enquête menée auprès d’employés du datacenter de Tik Tok en Virginie du Nord a révélé de multiples failles de sécurité et des liens encore étroits avec ByteDance en Chine.

Déjà dans le collimateur des autorités américaines, qui souhaitent interdire l’application en Amérique, Tik Tok va devoir s’expliquer sur des pratiques faillibles dans son datacenter de Virginie du Nord, réunies par un journaliste de Forbes qui a réalisé des entretiens avec 7 employés actuels ou anciens du réseau social chinois, et réuni une soixantaine de documents sur des vulnérabilités de sécurité.

L’enquête a dévoilé des pratiques, comme :

  • la présence de visiteurs non accompagnés ;
  • l’usage de clés USB neutres sur des serveurs ;
  • en cas de surchauffe des serveurs, des données américaines acheminées vers des serveurs basés à Singapour ;
  • des palettes en bois et des cartons laissés par les coursiers dans les salles de serveurs (risque d’incendie) ;
  • des disques durs laissés sans surveillance dans des boîtes ouvertes dans les couloirs ;
  • des interventions sur des serveurs qui ne font pas l’objet de tickets ;
  • des démagnétiseurs (pour effacer les données et détruire les disques) cassés ou bloqués.

Des employés interrogés ont également évoqué que des personnels utiliseraient des serveurs pour exploiter la crypto-monnaie…

Des liens avec le gouvernement chinois

Plus grave aux yeux de l’administration américaine, Tik Tok – qui s’était engagé à sécuriser les données privées des utilisateurs américains, et qui pourrait être invité à céder ses activités aux Etats-Unis – continue de travailler en lien avec la Chine :

  • les activités US du groupe sont toujours en lien étroit avec celles de ByteDance, sa société mère chinoise ;
  • des serveurs exploités dans le datacenter continuent d’être fournis par Inspur, une société contrôlée par l’armée chinoise ;
  • des ordres d’intervention sur les serveurs sont envoyés aux techniciens du datacenter par Beijing ByteDance Technology Co., une filiale de ByteDance détenue en partie par le gouvernement chinois, via l’application maison Lark.

Les informations s’accumulent sur les pratiques de Tik Tok, et alimentent les préoccupations exprimées par une coalition de sénateurs et le gouvernement américains, relayées jusqu’en Europe, la France par exemple a interdit l’usage du réseau sur les postes de travail de nos fonctionnaires.

Faut-il relativiser ces révélations ?

Les révélations de Forbes concernent Tik Tok, mais elles n’ont rien d’unique. La sécurité dans les datacenters du réseau social chinois est qualifié de « variable et laxiste »…, d’autres comme Twitter et Facebook ont déjà fait l’objet de ce type de critique, sans parler des périodes sombres de Microsoft, pour ne citer que cela.

Tik Tok serait en réalité victime de son succès, avec toujours plus d’utilisateurs (le réseau est aujourd’hui le plus gros mondial) et de volumes de données, ce qui impose de multiplier les serveurs et les interventions, et qui expliquerait des relâchements dans les pratiques de sécurité.

Sauf que lorsque les autorités occidentales sont à vos trousses, ce n’est pas le moment de relâcher l’attension et de commettre des erreurs…

à lire