Une enquête publiée le 21 avril 2023 vient de mettre en lumière les défaillances de sécurité au sein du centre de données de TikTok, dans l’état de Virgine, aux États-Unis. Alors que depuis plusieurs mois, plusieurs politiciens américains appellent à interdire le réseau social de ByteDance sur l’ensemble du territoire, ces manquements en matière de sécurité pourraient bien faire pencher la balance.

TikTok dans le viseur de plusieurs politiciens aux États-Unis

Les journalistes de Forbes ont enquêté pendant plusieurs mois sur la manière dont était sécurisé le data center de TikTok, situé dans l’est des États-Unis. Ils ont réalisé des entretiens avec sept employés du réseau social qui ont tous préféré garder l’anonymat. Certains d’entre eux ne travaillent plus pour l’entreprise, d’autres y sont encore salariés. Les enquêteurs ont également pu se baser sur une soixantaine de rapports, de photographies et de vidéos du centre de données.

La plupart de ces documents révèlent des vulnérabilités en lien avec la sécurité des bâtiments et des données qu’ils contiennent. De plus, ces preuves et témoignages révèlent que les opérations réalisées dans ce centre de données sont étroitement liées aux activités de ByteDance en Chine. Des documents prouvent même que dans le courant du mois d’avril 2023, des ordres de travail auraient été envoyés aux techniciens du data center par Beijing ByteDance Technology, une filiale de ByteDance détenue en partie par le gouvernement chinois.

Ces révélations surviennent à un moment critique pour TikTok. En effet, le réseau social fait face à une enquête fédérale pour avoir surveillé des journalistes occidentaux au travers de sa plateforme. En parallèle, un projet de loi bipartisan a même été proposé dans le but d’interdire l’application sur le territoire américain. Ce cadre législatif est par ailleurs soutenu par la Maison-Blanche qui souhaite sa promulgation dans les prochains mois.

Des documents révèlent des failles de sécurité inquiétantes

Parmi les failles révélées par l’enquête, des clés USB non marquées auraient été branchées directement sur les serveurs ces derniers mois. Dans la même veine, des visiteurs non accompagnés ont eu la possibilité de se rapprocher de ces serveurs, ainsi que des disques durs ont été laissés sans surveillance. TikTok a eu la possibilité de répondre à ses accusations. L’entreprise affirme à Forbes « qu’il est impossible que cela ait pu se produire, tant la sécurité en interne est millimétrée à ce niveau-là ».

L’entreprise affirme que ces photographies auraient pu être prises il y a quelques années, lorsque le data center était en rénovation. « Pendant la construction, avant la remise des opérations, il ne serait pas rare de voir des éléments comme des palettes en bois sans surveillance ou des boîtes en carton avec de nouveaux disques durs qui ne contiennent pas de données. Notre politique de gestion des supports exige que les supports usagés en attente de destruction soient placés dans des conteneurs verrouillés, » explique un représentant de l’entreprise chinoise.

Une autre défaillance concernerait les démagnétiseurs utilisés par l’entreprise afin de rendre inutilisables les disques durs et d’effacer toutes ses données. Ces appareils pourtant très utiles seraient souvent cassés ou bloqués, obligeant le personnel à se rendre vers d’autres data centers en transportant ces disques durs pour enfin s’en débarrasser. Un des employés de TikTok affirme que « n’importe qui avec des intentions malveillantes aurait pu les prendre, et que personne ne l’aurait su ». Un porte-parole de la firme confirme que « ce problème a existé par le passé, mais qu’il avait été résolu depuis ».

De nombreuses administrations publiques ont banni le réseau social

TikTok sait qu’il n’a pas la cote auprès des pays occidentaux. L’administration Trump avait même envisagé de l’interdire en 2020. C’est pour cela qu’a été mis en place le « plan Texas ». Avec l’aide d’Oracle, ByteDance a cherché à améliorer l’administration et l’hébergement des données des utilisateurs américains de son réseau social. L’objectif était de prouver que l’entreprise pouvait garantir la sécurité et la confidentialité de ces informations personnelles.

Pour rassurer les autorités européennes, ByteDance a lancé le projet Clover. « De la même façon que nous avons procédé aux États-Unis, nous allons construire un environnement sécurisé autour de ces données pour empêcher l’accès depuis l’extérieur de la région », précise la firme. C’est à Dublin qu’un premier centre de données a été ouvert en 2021. Cette année, deux nouveaux bâtiments devraient voir le jour : un second dans la capitale irlandaise, et un autre en Norvège, dans la ville de Hamar. Ils serviront à « stocker les données localement, minimiser leurs transferts en dehors de la région et réduire davantage leurs accès aux employés ».

Malgré ces précautions, de nombreuses administrations et hommes politiques ont décidé d’interdire à leurs employés d’utiliser les logiciels de ByteDance. C’est le cas aux États-Unis, des institutions européennes, mais aussi de plusieurs pays européens comme le Danemark, le Royaume-Uni ou encore la France où une commission d’enquête est en cours. Pour beaucoup outre-Atlantique, démocrate comme républicain, le bannissement de TikTok doit être complet ou le réseau social doit être racheté par une entreprise locale.