Les chercheurs de Check Point ont découvert quatre graves failles de sécurité sur Tik Tok qui mettent en danger les données des utilisateurs
Elle a été l'application la plus populaire de 2019, le sera certainement en 2020, compte plus d'un milliard d'abonnés et est la seule capable actuellement de faire peur au groupe Facebook. Mais c'est loin d'être parfait. Les chercheurs de Check Point Research ont découvert quatre graves vulnérabilités dans l'application TikTok et quelques problèmes sur le site web officiel.
ByteDance, la société chinoise qui développe TikTok, a repris les rapports de Check Point et a colmaté les failles de l'application, en publiant une mise à jour, et a également corrigé les problèmes du site web. Toute personne utilisant TikTok serait donc bien avisée de mettre l'application à jour immédiatement car, dans le cas contraire, les risques qu'elle encourt sont assez élevés : en effet, avant la mise à jour, TikTok pouvait être attaqué par des pirates avec un simple SMS d'usurpation, qui conduisait l'utilisateur vers un site web malveillant imitant la page d'accueil de TikTok.
Les quatre vulnérabilités de TikTok
Selon Alon Boxiner, Eran Vaknin, Alexey Volodin, Dikla Barda et Roman Zaikin, les cinq chercheurs qui ont trouvé les quatre bugs graves dans l'application TikTok, quelques étapes simples et pas si compliquées pourraient prendre le contrôle d'un compte TikTok, supprimer des vidéos et en télécharger d'autres sans la permission de l'utilisateur, rendre publiques des vidéos privées et cachées, et révéler des informations personnelles liées au compte, comme des adresses électroniques privées.
TikTok : attention aux SMS
Pour pirater un compte TikTok, il suffit d'envoyer un SMS à la victime, l'invitant à télécharger l'application et à regarder une vidéo. Cette fonctionnalité est l'une des méthodes choisies par ByteDance pour inviter de nouveaux utilisateurs à utiliser le service. Sur le site officiel de TikTok, il existe un champ spécial pour l'envoi de vidéos par SMS. Les personnes qui reçoivent un tel message ne sont donc généralement pas alarmées. Cependant, Check Point a découvert qu'il était possible d'usurper des SMS pour faire croire qu'ils provenaient de TikTok. Une fois que l'utilisateur a cliqué sur le faux lien, un pirate est en mesure d'accéder à certaines parties du compte TikTok. Check Point a également découvert que l'infrastructure de TikTok permettait à un pirate de rediriger l'utilisateur déjà attaqué vers un site web malveillant qui ressemblait à la page d'accueil de TikTok.
Réponse de TikTok
Check Point a découvert les quatre graves failles de sécurité chez TikTok en novembre 2019, mais les a gardées secrètes jusqu'à ce que l'entreprise soit en mesure de patcher son application et son site web. "TikTok s'engage à protéger les données des utilisateurs", explique l'entreprise dans une note. "Comme de nombreuses organisations, nous encourageons les chercheurs en sécurité à nous divulguer en privé les vulnérabilités de type "zero-day". Avant la divulgation publique, Check Point a convenu que tous les problèmes signalés ont été corrigés dans la dernière version de notre application. Nous espérons que cette divulgation réussie encouragera la collaboration future avec les chercheurs en cybersécurité.