TikTok : des chercheurs détectent une faille de sécurité qui expose les données privées des utilisateurs

26 janvier 2021 à 16h08
3
TikTok application © Pixabay
© Pixabay

Les chercheurs de Check Point Research ont découvert que l'une des fonctionnalités phares de TikTok était soumise à l'incursion de cybercriminels.

Déjà pointée du doigt à plusieurs reprises pour ses failles de sécurité notamment au cours de l'année 2020, l'application TikTok, ou plutôt l'entreprise ByteDance, a été contactée par les spécialistes en cybersécurité de la société Check Point Research pour une nouvelle vulnérabilité, qui concerne la confidentialité de l'outil. Cette fois, la faille de sécurité a été localisée dans la fonction « Trouver des amis » de l'application de partage de vidéos.

Une faille qui rendait possible l'accès à de nombreuses données et fichiers personnels des utilisateurs

La faille décelée dans la fonctionnalité « Trouver des amis » contournait la protection de la confidentialité des données privées des utilisateurs. Si elle a été corrigée (les vulnérabilités n'étant révélées, rappelons-le, qu'après cette étape), la faille aurait pu, sans l'intervention de CPC, permettre à un hacker d'accéder à certaines données comme les détails du profil utilisateur et le numéro de téléphone associé au compte de ce dernier.

Une telle éventualité aurait pu permettre à un pirate informatique ou à un groupe de créer une véritable base de données d'informations qui aurait ensuite pu être utilisée pour mener des activités malveillantes.

Parmi les détails des profils qui ont été un temps accessibles du fait de cette vulnérabilité, on retrouve notamment le surnom, les photos du profil et de l'avatar, les identificateurs uniques, et le « statut » du compte (utilisateur abonné ou utilisateur caché), outre, nous le disions, le numéro de téléphone.

Le mécanisme de protection contournée, TikTok a corrigé la faille avant la communication de Check Point

Ce n'est en tout cas pas la première fois que Check Point Research relève une faille dans l'application préférée des jeunes. En janvier 2020, CPR avait révélé diverses vulnérabilités qui auraient permis l'accès au compte d'utilisateur, à ses détails, mais aussi la possibilité d'effectuer des actions directement depuis le compte, sans que son titulaire puisse s'en apercevoir instantanément.

« Notre principale motivation, cette fois-ci, était d’explorer la confidentialité de TikTok. Nous étions curieux de savoir si la plateforme TikTok pouvait être utilisée pour obtenir des données privées sur les utilisateurs. Il a été révélé que la réponse était oui, car nous avons pu contourner les multiples mécanismes de protection de TikTok, conduisant ainsi à une faille de sécurité impactant la confidentialité », témoigne le responsable de la recherche sur les vulnérabilités des produits chez Check Point, Oded Vanunu, au sujet de la faille de la fonction « Trouver des amis ». Ce dernier conseille par ailleurs de toujours bénéficier de la dernière version de TikTok, pour limiter les risques, et de ne partager que le strict minimum en données personnelles.

TikTok, de son côté, a déclaré avoir « apprécié le travail de partenaires de confiance comme Check Point pour identifier les problèmes potentiels » rencontrés, résolus avant qu'ils puissent affecter les utilisateurs.

🤔 La vulnérabilité décelée, expliquée par CPR en 4 étapes

TikTok vulnérabilité © Check Point Research
© Check Point Research

Check Point Research, qui a attendu que ByteDance déploie un correctif avant de révéler la faille, explique en toute transparence les différentes étapes qui ont conduit à la découverte de la faille.

  • D'abord, les chercheurs ont créé une liste d'appareils utilisés pour interroger les serveurs de TikTok.
  • Ensuite, ils ont créé une liste de jetons de session utilisés pour interroger les serveurs de TikTok. Il faut savoir, ici, que chaque jeton de session est alors valable 60 jours.
  • Puis, les chercheurs ont contourné le mécanisme de signature des messages HTTP de l'application en utilisant son propre service de signature, alors exécuté en arrière-plan.
  • Enfin, la dernière étape consistait en la modification des requêtes HTTP et de la signature, puis en l'utilisation de plusieurs jetons de session et identifiants d'appareils, pour pouvoir contourner les mécanismes de protection de TikTok.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
titus72
Ne cherchez plus les gars, il suffit ce le désinstaller, et tout est résolu d’un coup!
iosandroid
Qui dit logiciel dit faille de sécurité, tous en ont et ceux qui se targuent de ne pas en avoir c’est juste quelles ne sont pas encore découvertes. Est-ce que aujourd’hui le fait que c’est TikTok qui est malgré lui sous les feux des projecteurs est une raison sérieuse de crier au complot d’espionnages chinois ? Certainement pas ! Est-ce que certains sites ou politiques vont alégrement franchir le pas ? C’est quasi certain
g-m1n1
Je crois qu’il faut pas l’installer surtout. Désinstaller ne supprime pas les données sur leurs serveurs… :-/
Voir tous les messages sur le forum

Lectures liées

Norton fait les soldes ! En quoi ses antivirus à -60% est une aubaine ?
Crypto.com piraté, des centaines de comptes touchés et plusieurs millions de dollars dans la nature
La Croix-Rouge se fait voler les données de plus de 500 000 personnes hautement vulnérables
Rends l'argent ! Cacophonie et négociations après un vol de 3 millions de dollars en crypto
Norton casse les prix de ses antivirus ! Pourquoi se décider à les installer ?
Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Cybercriminalité : Europol coupe le câble de VPNLab.net
Snapchat Quick Add : rendez facilement l'ajout d'amis plus sûr pour vos ados
Une promotion de 60% sur les abonnements antivirus Bitdefender !
Thales piraté par le groupe LockBit 2.0 ; deux dossiers diffusés, des outils et du code
Haut de page