Une faille de sécurité zero-day récemment découverte sur TikTok a permis à des pirates informatiques de prendre le contrôle de comptes très médiatisés. Nous pouvons citer, entre autres, ceux de Sony, CNN et Paris Hilton. Cette faille, désormais corrigée par la plateforme, suscite des inquiétudes quant à la sécurité des données des utilisateurs de TikTok.
Sommaire :
Le problème de sécurité détecté
La faille de sécurité a été découverte par une équipe de chercheurs en cybersécurité qui ont immédiatement signalé la vulnérabilité à TikTok. Le souci se trouvait dans une des API de l’application, utilisée pour gérer les connexions et les interactions des utilisateurs. Le piratage impliquait l’envoi de messages aux utilisateurs remplis de code malveillant. Lorsque l’utilisateur a ouvert le message, le code s’est mis en route et a repris l’intégralité du compte. Bizarrement, les comptes concernés n’ont rien publié alors qu’ils étaient compromis.
Exploitée, cette vulnérabilité permettait aux attaquants d’accéder à des informations sensibles et de prendre le contrôle de comptes. Tout cela sans l’autorisation des propriétaires légitimes et sans besoin de cliquer sur un lien, la méthode courante des hackers.
Les comptes les plus en danger étaient ceux des personnalités publiques et des influenceurs, qui possèdent souvent des millions de followers. Ces comptes sont des cibles de choix pour les pirates informatiques. La raison : leur grande visibilité et l’impact potentiel en cas de détournement. Un contrôle sur ces comptes permettrait aux attaquants de diffuser de fausses informations. Ils pouvaient aussi lancer des escroqueries et endommager la réputation des individus concernés.
VOIR AUSSI : TikTok : changer d’algorithme… et de nationalité ?
La réponse de TikTok
« Notre équipe de sécurité est au courant d’un exploit potentiel ciblant un certain nombre de comptes de marques et de célébrités. (…) Nous avons pris des mesures pour arrêter cette attaque et l’empêcher de se reproduire à l’avenir. Nous travaillons directement avec les propriétaires de comptes concernés pour rétablir l’accès, si nécessaire. » a déclaré Alex Haurek, porte-parole de TikTok, à Forbes. La société n’a pas encore révélé le nombre exact d’utilisateurs affectés et n’a partagé aucun détail concernant la vulnérabilité exploitée jusqu’à ce que la faille sous-jacente soit corrigée.
Suite à la découverte de la faille, TikTok a agi rapidement pour corriger le problème. L’entreprise a déployé une mise à jour de sécurité pour tous les utilisateurs. Le géant des réseaux sociaux a également renforcé ses mesures de sécurité pour prévenir de futures vulnérabilités. Dans un communiqué, TikTok remercie les chercheurs pour leur vigilance. Il réaffirme son engagement à protéger la sécurité et la confidentialité de ses utilisateurs.
Ce type de piratage, connu sous le nom d’attaque sans clic, reste cependant extrêmement rare. Il ne devrait donc pas constituer une grande préoccupation pour les utilisateurs moyens.
Cette attaque survient à un moment déjà difficile pour TikTok, l’application étant au cœur de vifs débats politiques et juridiques aux États-Unis. La question de la cybersécurité représente un défi supplémentaire pour l’entreprise.
