TikTok nie toute faille de sécurité la concernant après qu’un groupe de hackers a affirmé avoir compromis le code source de l'application sur un forum spécialisé dans le piratage.
Les hackers assurent avoir accès aux détails de 2 milliards de comptes grâce à leur manœuvre, également menée sur l’application chinoise WeChat.
Des milliards de comptes touchés
Le groupe s’appelle « AgainstTheWest » et vise principalement les pays et les entreprises hostiles aux intérêts occidentaux. Il a créé un sujet sur un forum de pirates informatiques en affirmant avoir hacké TikTok et WeChat, puis a partagé des captures d'écran d'une prétendue base de données appartenant aux entreprises. Le groupe a affirmé que les données avaient été récupérées via un serveur Cloud d’Alibaba mal sécurisé.
Pourtant, TikTok nie toute faille. Dans un tweet, l’application chinoise a en effet expliqué qu’après enquête, elle n’a trouvé « aucune preuve de violation de la sécurité ». Interrogé par le média Bleeping Computer, un porte-parole du réseau social a même affirmé que le code source partagé sur le forum n’appartient pas à sa plateforme.
La société a en outre indiqué que la fuite de données d'utilisateurs ne pouvait pas résulter de la technique dite de web scraping, c’est-à-dire d'extraction de contenu via un script ou un programme, car elle dispose de mesures de sécurité adéquates pour empêcher les scripts automatisés de collecter des informations sur les utilisateurs.
Les données semblent réelles, selon les experts
Selon Troy Hunt, expert australien en cybersécurité, l’échantillon de données de TikTok posté par les hackers contient des informations d’ores et déjà disponibles publiquement, ce qui signifie qu’il a pu être récupéré sans pour autant pirater la plateforme. De plus, le fait que les cybercriminels aient rassemblé, des données issues à la fois de TikTok et de WeChat prouve qu’elles ne proviennent pas d’une violation directe de chacune des applications.
Néanmoins, les experts confirment que les informations sont bel et bien réelles, mais il est difficile de savoir comment les hackers les ont récupérées. Selon Bleeping Computer, il est fort probable que la base de données ait été créée par un scraper de données ou un courtier tiers qui a récupéré les données publiques des deux services et les a enregistrées dans un seul endroit.
Cela tombe mal pour TikTok, puisque Microsoft a récemment révélé avoir découvert une importante vulnérabilité, corrigée depuis, sur l’application. Même si le réseau social n’a pas été hacké à proprement parler, la sécurité des données de ses utilisateurs est un sujet sensible, une nouvelle fois mis en lumière par cette affaire.
Sources : Bleeping Computer, Engadget