TikTok : des chercheurs détectent une faille de sécurité qui expose les données privées des utilisateurs

Alexandre Boero
Chargé de l'actualité de Clubic
26 janvier 2021 à 16h08
3
© Pixabay
© Pixabay

Les chercheurs de Check Point Research ont découvert que l'une des fonctionnalités phares de TikTok était soumise à l'incursion de cybercriminels.

Déjà pointée du doigt à plusieurs reprises pour ses failles de sécurité notamment au cours de l'année 2020, l'application TikTok, ou plutôt l'entreprise ByteDance, a été contactée par les spécialistes en cybersécurité de la société Check Point Research pour une nouvelle vulnérabilité, qui concerne la confidentialité de l'outil. Cette fois, la faille de sécurité a été localisée dans la fonction « Trouver des amis » de l'application de partage de vidéos.

Lire aussi :
TikTok : les autorités italiennes ordonnent au réseau de bloquer les comptes dont l'âge n'est pas vérifié

Une faille qui rendait possible l'accès à de nombreuses données et fichiers personnels des utilisateurs

La faille décelée dans la fonctionnalité « Trouver des amis » contournait la protection de la confidentialité des données privées des utilisateurs. Si elle a été corrigée (les vulnérabilités n'étant révélées, rappelons-le, qu'après cette étape), la faille aurait pu, sans l'intervention de CPC, permettre à un hacker d'accéder à certaines données comme les détails du profil utilisateur et le numéro de téléphone associé au compte de ce dernier.

Une telle éventualité aurait pu permettre à un pirate informatique ou à un groupe de créer une véritable base de données d'informations qui aurait ensuite pu être utilisée pour mener des activités malveillantes.

Parmi les détails des profils qui ont été un temps accessibles du fait de cette vulnérabilité, on retrouve notamment le surnom, les photos du profil et de l'avatar, les identificateurs uniques, et le « statut » du compte (utilisateur abonné ou utilisateur caché), outre, nous le disions, le numéro de téléphone.

Lire aussi :
Dormir en Tesla et, poster la vidéo sur TikTok : l'idée "brillante" d'un influenceur américain

Le mécanisme de protection contournée, TikTok a corrigé la faille avant la communication de Check Point

Ce n'est en tout cas pas la première fois que Check Point Research relève une faille dans l'application préférée des jeunes. En janvier 2020, CPR avait révélé diverses vulnérabilités qui auraient permis l'accès au compte d'utilisateur, à ses détails, mais aussi la possibilité d'effectuer des actions directement depuis le compte, sans que son titulaire puisse s'en apercevoir instantanément.

« Notre principale motivation, cette fois-ci, était d’explorer la confidentialité de TikTok. Nous étions curieux de savoir si la plateforme TikTok pouvait être utilisée pour obtenir des données privées sur les utilisateurs. Il a été révélé que la réponse était oui, car nous avons pu contourner les multiples mécanismes de protection de TikTok, conduisant ainsi à une faille de sécurité impactant la confidentialité », témoigne le responsable de la recherche sur les vulnérabilités des produits chez Check Point, Oded Vanunu, au sujet de la faille de la fonction « Trouver des amis ». Ce dernier conseille par ailleurs de toujours bénéficier de la dernière version de TikTok, pour limiter les risques, et de ne partager que le strict minimum en données personnelles.

TikTok, de son côté, a déclaré avoir « apprécié le travail de partenaires de confiance comme Check Point pour identifier les problèmes potentiels » rencontrés, résolus avant qu'ils puissent affecter les utilisateurs.

🤔 La vulnérabilité décelée, expliquée par CPR en 4 étapes

© Check Point Research
© Check Point Research

Check Point Research, qui a attendu que ByteDance déploie un correctif avant de révéler la faille, explique en toute transparence les différentes étapes qui ont conduit à la découverte de la faille.

  • D'abord, les chercheurs ont créé une liste d'appareils utilisés pour interroger les serveurs de TikTok.
  • Ensuite, ils ont créé une liste de jetons de session utilisés pour interroger les serveurs de TikTok. Il faut savoir, ici, que chaque jeton de session est alors valable 60 jours.
  • Puis, les chercheurs ont contourné le mécanisme de signature des messages HTTP de l'application en utilisant son propre service de signature, alors exécuté en arrière-plan.
  • Enfin, la dernière étape consistait en la modification des requêtes HTTP et de la signature, puis en l'utilisation de plusieurs jetons de session et identifiants d'appareils, pour pouvoir contourner les mécanismes de protection de TikTok.
Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (3)

titus72
Ne cherchez plus les gars, il suffit ce le désinstaller, et tout est résolu d’un coup!
iosandroid
Qui dit logiciel dit faille de sécurité, tous en ont et ceux qui se targuent de ne pas en avoir c’est juste quelles ne sont pas encore découvertes. Est-ce que aujourd’hui le fait que c’est TikTok qui est malgré lui sous les feux des projecteurs est une raison sérieuse de crier au complot d’espionnages chinois ? Certainement pas ! Est-ce que certains sites ou politiques vont alégrement franchir le pas ? C’est quasi certain
g-m1n1
Je crois qu’il faut pas l’installer surtout. Désinstaller ne supprime pas les données sur leurs serveurs… :-/
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

TikTok : des chercheurs détectent une faille de sécurité qui expose les données privées des utilisateurs TikTok : des chercheurs détectent une faille de sécurité qui expose les données privées des utilisateurs
ChatGPT Plus : comment les pirates parviennent à voler des comptes payants, et à quoi leur servent-ils ? ChatGPT Plus : comment les pirates parviennent à voler des comptes payants, et à quoi leur servent-ils ?
Une importante vulnérabilité a sévi dans les Amazon Kindle, et pendant longtemps Une importante vulnérabilité a sévi dans les Amazon Kindle, et pendant longtemps
1,5 milliard d'appareils Apple vulnérables à cause d'AirDrop selon des chercheurs 1,5 milliard d'appareils Apple vulnérables à cause d'AirDrop selon des chercheurs
TikTok : un grave problème de sécurité aurait été découvert sur l'application, voici ce que l'on sait TikTok : un grave problème de sécurité aurait été découvert sur l'application, voici ce que l'on sait