TikTok a confirmé à la BBC qu'elle n'adoptera pas le chiffrement de bout en bout pour ses messages privés. L'entreprise explique qu'il s'agit d'une mesure pour protéger les utilisateurs, mais forcément cela ne manque pas de diviser la communauté de la cybersécurité.
La quasi-totalité des grandes messageries comme WhatsApp, Signal, iMessage, ou Facebook Messenger, protège aujourd'hui les échanges privés via le chiffrement de bout en bout. TikTok a officiellement annoncé qu'il ne rejoindra pas ce mouvement.
Rappelons que le chiffrement de bout en bout (E2EE) garantit que seuls l'expéditeur et le destinataire peuvent lire un message. En d'autres termes, même la plateforme ne peut pas accéder au contenu des conversations. Lors d'un briefing sécurité dans ses bureaux londoniens, TikTok a expliqué à la BBC qu'une telle protection empêcherait ses équipes et les forces de l'ordre d'accéder aux messages en cas de besoin.
Les modérateurs avant les hackers : le choix assumé de TikTok
TikTok a encadré cette décision autour de la protection des mineurs. La plateforme, qui revendique plus d'un milliard d'utilisateurs mensuels dans le monde dont environ 25 millions en France, argue que ne pas pouvoir lire les messages rendrait sa lutte contre le harcèlement nettement plus difficile. Les messages directs restent chiffrés pendant leur transmission (donc en transit), comme c'est le cas sur Gmail, mais la plateforme peut y accéder en réponse à une demande des autorités ou à un signalement utilisateur.
Des organisations de protection de l'enfance britanniques ont soutenu cette posture. On le sait, le débat porte sur l'accès des données par les autorités dans le cadre d'une enquête. La NSPCC souligne que les plateformes chiffrées de bout en bout compliquent la détection des abus sexuels sur mineurs. L'Internet Watch Foundation va dans le même sens et estime que TikTok crée "un précédent important" en maintenant ses capacités de modération.
Pour mémoire, en France, les réseaux sociaux deviendront interdits aux moins de 15 ans à partir de septembre prochain.
Et voilà le débat rouvert
Ce débat sur le chiffrement ne se limite pas à TikTok. En Europe, la Commission européenne pousse depuis 2022 le règlement très controversé "Chat Control", lequel obligerait toutes les plateformes de messagerie, y compris celles qui utilisent le E2EE, à analyser automatiquement les messages privés de leurs utilisateurs à la recherche de contenus pédopornographiques. Concrètement, cela imposerait l'installation d'un mécanisme de surveillance côté utilisateur, avant même que le message ne soit chiffré, ce que les experts en sécurité appellent un "client-side scanning." Pour eux, c'est techniquement incompatible avec le chiffrement de bout en bout : ouvrir une telle porte crée une faille exploitable par n'importe quel acteur malveillant. Le Parlement européen a jusqu'ici bloqué le texte, mais les négociations se poursuivent.
En France, le gouvernement a de son côté tenté d'inscrire dans la loi SREN une obligation similaire d'accès aux contenus chiffrés pour les autorités, avant de reculer face aux critiques des acteurs tech et des associations de défense des libertés numériques. Pour éviter toute sanction potentielle, TikTok brosse donc dans le sens du poil les États cherchant activement à limiter la portée du chiffrement, au nom de la sécurité publique.
ByteDance en arrière-plan : des doutes qui ne disparaissent pas
Forcément la décision ne fait pas l'unanimité. Matt Navarra, analyste spécialisé dans les réseaux sociaux, qualifie le choix d'"habile" mais reconnaît qu'il crée une "situation explosive en termes d'image" en désynchronisant TikTok des standards mondiaux de confidentialité. Les défenseurs de la vie privée rappellent que le E2EE protège avant tout les utilisateurs contre les hackers, les entreprises et les gouvernements autoritaires.
Alan Woodward, chercheur en cybersécurité à l'Université du Surrey, pointe une possible influence chinoise derrière ce choix, rappelant que le chiffrement de bout en bout est "largement interdit en Chine." Bien évidemment, cela ne manque pas de renforcer les suspicions autour de ByteDance, la maison mère de TikTok. Ses opérations américaines ont certes été séparées du groupe en début d'année sous pression des élus américains, mais la question de la souveraineté des données reste entière. Rappelons que le mois dernier, la Commission européenne avait conclu que TikTok violait le Digital Services Act. Les autorités européennes pointaient ses pratiques de design addictif avec son scroll infini.
