TikTok renonce au chiffrement de bout en bout, estimant que cela « met en danger la sécurité des utilisateurs »

 (bbc.com)
3 points par GN⁺ 2026-03-05 | 1 commentaires | Partager sur WhatsApp
  • TikTok a indiqué qu’il n’introduirait pas le chiffrement de bout en bout (E2EE), en expliquant que cela empêcherait la police et les équipes de sécurité de consulter les messages, ce qui compliquerait la protection des utilisateurs
  • L’entreprise affirme avoir pris cette décision notamment pour protéger les adolescents, en soulignant qu’elle a délibérément choisi une voie différente de celle de ses concurrents
  • Aujourd’hui, les principales plateformes comme WhatsApp, Messenger et Signal appliquent l’E2EE par défaut, tandis que TikTok dit n’utiliser qu’un chiffrement classique, au niveau de Gmail
  • Les organisations de protection de l’enfance NSPCC et IWF ont salué la décision de TikTok, estimant que l’E2EE rend plus difficile la détection de l’exploitation sexuelle des enfants
  • Des experts soulignent toutefois que cette décision va à l’encontre des standards mondiaux de protection de la vie privée et pourrait renforcer les inquiétudes sur ses liens avec la Chine

Décision de TikTok sur sa politique de chiffrement

  • TikTok a officiellement confirmé qu’il n’adopterait pas le chiffrement de bout en bout (E2EE)
    • L’entreprise explique que cette technologie empêche la police et les équipes de sécurité de consulter les messages lorsque cela est nécessaire, ce qui nuit à la sécurité des utilisateurs
    • Lors d’un briefing sécurité organisé dans les bureaux londoniens de la BBC, elle a insisté sur le fait qu’il s’agissait d’une mesure visant en particulier la protection des adolescents
  • TikTok affirme avoir pris cette décision dans le cadre d’une stratégie distincte de celle de ses concurrents
    • Cela contraste avec l’adoption de l’E2EE par de grandes plateformes comme Facebook, Instagram, Messenger et X
    • TikTok précise utiliser un chiffrement standard et que seuls des employés autorisés peuvent accéder aux messages dans certaines situations précises

La controverse autour de l’E2EE

  • L’E2EE est considéré comme la technologie de sécurité la plus forte, car seuls l’expéditeur et le destinataire peuvent voir le contenu des messages
    • Activé par défaut sur Signal, WhatsApp, iMessage et Google Messages
    • Proposé de manière optionnelle sur Telegram, et appliqué uniquement aux photos et vidéos sur Snapchat
    • Discord prévoit d’appliquer l’E2EE par défaut aux appels audio et vidéo
  • Cependant, les gouvernements, la police et les organisations de protection de l’enfance critiquent l’E2EE, estimant qu’il entrave la détection des contenus illégaux et les enquêtes
    • Selon eux, les criminels peuvent ainsi échapper à la surveillance, ce qui accroît les risques pour les utilisateurs et la diffusion de contenus illicites

Protection des données chez TikTok et critiques

  • TikTok explique protéger les messages avec un chiffrement standard et qu’un accès n’est possible qu’en cas de demande légale ou de signalement d’activité nuisible
  • L’entreprise continue de nier les soupçons de liens avec le gouvernement chinois
    • Ses activités aux États-Unis ont été séparées de l’activité mondiale sur ordre du Congrès
    • Elle exploite Project Clover pour protéger les utilisateurs européens
  • En raison de sa structure de propriété sous ByteDance, des inquiétudes persistent malgré tout concernant l’accès aux données

Réactions extérieures

  • La NSPCC a salué la décision de TikTok, affirmant que l’E2EE complique la détection de l’exploitation sexuelle des enfants et réduit le nombre de signalements
  • L’IWF a estimé que le fait d’avoir « suspendu l’adoption de l’E2EE pour des raisons de sécurité constitue un précédent important »
  • Le professeur Alan Woodward, de l’université de Surrey, a déclaré que « l’E2EE est largement interdit en Chine et que la décision de TikTok pourrait être influencée par la Chine »
  • L’analyste du secteur Matt Navarra a estimé que TikTok défend l’idée de privilégier une sécurité proactive plutôt qu’un absolutisme de la vie privée, une position stratégiquement habile mais sujette à controverse

Contexte mondial et perspectives

  • La décision de TikTok est perçue comme allant à contre-courant de l’évolution mondiale en matière de protection de la vie privée
    • Alors que d’autres plateformes étendent l’E2EE, TikTok choisit de maintenir sa coopération avec les autorités chargées de l’application de la loi
  • Des experts estiment que cette décision pourrait être liée à la volonté de préserver ses relations avec les décideurs publics et de renforcer la protection des adolescents
  • Le débat sur l’équilibre entre vie privée et sécurité autour de l’E2EE devrait se poursuivre

À lire aussi

1 commentaires

 
GN⁺ 2026-03-05
Avis sur Hacker News

  • Je pense qu’il est acceptable de dire que « il n’y a presque aucune confidentialité sur cette app »
    TikTok est fondamentalement une plateforme centrée sur le public, avec peu de notion de groupes fermés ou de suivi mutuel
    Si l’on a besoin de confidentialité, il suffit de passer à une autre app comme Signal ou Snapchat
    Cela dit, comme TikTok a été autrefois sous la surveillance du gouvernement chinois et qu’il est maintenant devenu une cauchemar ploutocratique à l’américaine, je pense qu’il est inutile d’attendre de leur part une quelconque attitude de principe
    À mes yeux, il est encore plus problématique de mettre en avant la « confidentialité » à la Facebook tout en n’investissant pas suffisamment de ressources dans la lutte contre les CSAM (contenus d’abus sexuels sur mineurs)

    • TikTok a aussi une fonction de messages privés en 1:1, utilisée par des centaines de millions de personnes
      Si l’on propose une messagerie privée entre individus, il faut impérativement y appliquer le E2EE (chiffrement de bout en bout)
      Sinon, autant l’exploiter comme un forum entièrement public
    • Sur une plateforme comme TikTok, avec des effets de réseau gigantesques, la liberté de choisir une app de remplacement n’existe pratiquement pas
      Je pense qu’il faut une régulation imposant la fédération pour casser ce monopole
      Ainsi, les plateformes pourraient se concurrencer sur la monétisation ou l’ergonomie plutôt que sur le verrouillage des utilisateurs
    • Ce serait acceptable s’ils offraient un choix honnête, mais TikTok ment en disant qu’ils « lisent les messages seulement quand c’est nécessaire »
      En réalité, ils lisent les messages pour réprimer des opinions politiques opposées ou à des fins de contrôle
      La plupart des utilisateurs ne savent pas distinguer cette confusion entre confidentialité et CSAM
    • Que TikTok reste une plateforme du type « nous vous surveillons », passe encore
      Mais présenter cela comme de la « sécurité », c’est de la tromperie et une manière de fausser l’opinion publique
    • Je pense que des apps comme WhatsApp ou Facebook utilisent souvent le E2EE surtout comme argument marketing
      Pour qu’il s’agisse d’un vrai E2EE, il faut
      1. que les paires de clés soient générées sur l’appareil,
      2. que le serveur ne puisse jamais voir la clé privée,
      3. que l’app cliente soit vérifiable en open source
      4. et que l’utilisateur puisse la compiler lui-même
        Sans ces conditions, il ne faudrait pas appeler ça du E2EE

  • Je pense que les entreprises sont en train de reconditionner l’argument que les gouvernements défendent depuis longtemps, selon lequel « le E2EE est dangereux pour les enfants »

    • Les enfants sont devenus un outil trop efficace pour construire un État de surveillance
      Il vaudrait mieux que les mineurs utilisent des « appareils restreints », avec déverrouillage possible une fois adultes
      De cette manière, tous les SaaS n’auraient plus besoin de vérifier directement l’identité des utilisateurs
    • Je ne comprends pas pourquoi tous les systèmes de protection de l’enfance exigent une vérification d’âge
      Il serait tout à fait possible que le smartphone transmette simplement un indicateur « child » aux applications
    • Au final, les entreprises sont libres de fixer leurs propres politiques, et les utilisateurs choisissent en conséquence
    • Si ce raisonnement fonctionne, c’est parce qu’il touche aux valeurs des gens autour de nous
      Vouloir changer les valeurs elles-mêmes des gens est une perte de temps
    • La solution est simple — empêcher les enfants d’accéder aux réseaux sociaux est la méthode la plus sûre

  • Aujourd’hui, les gens voient le problème de la vérification d’âge de façon beaucoup trop simpliste
    La plupart des services connaissent déjà l’âge des utilisateurs et s’appuient sur ces données pour une optimisation algorithmique opaque
    Je pense donc qu’il faut interdire non seulement la vérification d’âge, mais aussi le data mining et l’ajustement algorithmique eux-mêmes
    La façon dont les données des enfants sont utilisées est un problème plus grave que leurs DM

    • Dire qu’« on s’inquiète des DM des enfants mais pas de la collecte de données » est une absurdité
      Beaucoup de gens s’inquiètent des deux
    • La responsabilité de surveiller les DM des enfants revient aux parents
      S’ils le veulent, ils peuvent installer un keylogger ou un enregistrement d’écran, mais certainement pas des entreprises comme Google
    • Pour la plupart des gens, mettre simplement l’année de naissance à 1970 est devenu une sorte de convention
    • Je ne suis pas d’accord avec l’idée qu’« il faut interdire la vérification d’âge »
      Avec des technologies comme les Verifiable Credentials, on peut vérifier uniquement l’âge sans transmettre de données personnelles

  • Les DM équivalent à des conversations privées dans la vie réelle
    Par conséquent, toute fonction de DM devrait inclure le E2EE
    Si une plateforme ne le veut pas, il vaudrait mieux supprimer complètement la fonction DM et laisser tous les messages publics
    Il faut une structure permettant aux parents d’accorder individuellement à leurs enfants l’accès aux DM

    • Dire « supprimons les DM et rendons tout public » n’a aucun sens
      Dans la réalité aussi, il existe une zone intermédiaire entre le totalement public et le totalement privé
    • TikTok va probablement bientôt ajouter une fonction permettant aux parents de surveiller les DM de leurs enfants, et les parents vont sans doute apprécier
    • Même avec du E2EE, il peut en réalité arriver que le serveur gère les clés ou remplace les clés à la demande du gouvernement
      Autrement dit, le E2EE ne sert alors qu’à bloquer les intermédiaires naïfs
    • S’il existe un système garantissant la confidentialité sur le plan juridique, je ne pense pas que le E2EE soit forcément nécessaire
      Ce sont deux questions distinctes
    • Certains parents sont obsédés par la surveillance au point de vouloir analyser avec de l’IA toutes les conversations de leurs enfants

  • TikTok est en quelque sorte un avant-poste de la surveillance gouvernementale, donc cette position n’a rien de surprenant

    • En réalité, tous les réseaux sociaux doivent être considérés comme des outils de surveillance gouvernementale
    • Les gouvernements peuvent déjà accéder aux données même quand il y a du E2EE
      L’absence de E2EE ne réduit pas vraiment cette capacité
    • On a maintenant l’impression que la surveillance a été franchisée
      Comme si l’on achetait des droits d’exploitation région par région pour collecter l’information

  • Je pense que dire que cela « rend les utilisateurs moins en sécurité » n’est qu’un prétexte
    En réalité, il s’agit seulement d’éviter les frictions avec les gouvernements
    Face à l’argent, les principes disparaissent

  • Dire « moins sûr » ne précise pas moins sûr pour qui
    Du point de vue des gouvernements autoritaires, ce sera peut-être moins sûr, mais c’est à eux de s’en accommoder

  • Je pense qu’il est difficile de faire confiance au E2EE dans une app fermée
    Même si un auditeur confirme que libsignal est correctement intégré, il peut toujours y avoir dans le code interne des hooks de scan de contenu
    Quand on voit qu’Apple avait presque finalisé une technologie de scan d’images, la possibilité est bien réelle
    Malgré tout, l’avantage du E2EE, c’est que même si le serveur est piraté, les données restent un amas chiffré inutilisable

    • Le E2EE est difficile à implémenter et peut être facilement neutralisé par une erreur de l’utilisateur
      Par exemple, parmi les utilisateurs de Signal, très peu comparent réellement les numéros de sécurité
      Au final, le vrai problème n’est pas la sécurité mais l’ergonomie
    • Les gens ont tendance à croire au E2EE comme à une religion
      Même quand c’est invérifiable, ils assimilent « protection = E2EE »
      J’ai aussi souligné ce point dans l’article « I don’t trust Signal »
    • Quand on parle de E2EE, il faut clarifier « qui est le point terminal ? »
      Si le serveur est le point terminal, alors ce n’est pas un vrai E2EE
      Et de toute façon, les métadonnées ont bien plus de valeur que le contenu des conversations
    • Il se peut même que les mots de passe soient stockés en clair

  • TikTok est à la base une plateforme de vidéos publiques, donc je ne comprends pas pourquoi on l’utilise à tout prix pour des conversations privées

    • TikTok est le réseau social de la jeune génération
      Les plus âgés ne le comprennent pas très bien
    • Au départ, on s’échange juste des vidéos entre amis, puis cela débouche naturellement sur des conversations par chat
      Même en sachant que la sécurité est faible, ce n’est pas forcément un gros problème vu la nature de ces échanges
    • On dirait le commentaire de quelqu’un qui n’a jamais utilisé les DM de TikTok
    • La plupart des adolescents ne comprennent pas vraiment les notions de chiffrement ou de sécurité
      Ils utilisent simplement TikTok pour sa commodité
    • TikTok est bien plus qu’une simple plateforme vidéo

  • On parle d’une « fonctionnalité de confidentialité controversée », mais je me demande qui la juge controversée
    Selon les critères de la NSA ou du GCHQ ?

    • D’après l’article, des organisations de protection de l’enfance comme la NSPCC et l’Internet Watch Foundation s’y opposent
      En interne chez Meta aussi, Monika Bickert et Antigone Davis ont indiqué que le E2EE présentait des risques pour les enfants
      On peut aussi le vérifier dans un article de Reuters