TikTok : une importante faille de sécurité détectée et corrigée
Des chercheurs en sécurité ont piraté l’application. Ils étaient en mesure de publier des vidéos, accéder aux données personnelles des utilisateurs et changer le statut des vidéos privées sur TikTok.
Une importante faille de sécurité a été détectée par les chercheurs en sécurité de Check Point Research. Elle leur donnait la possibilité d’accéder au gestionnaire de vidéos des utilisateurs de TikTok, publier des contenus à leur place, passer en public des vidéos enregistrées en privé sur l’application. Pire encore, il leur était également possible d’accéder au profil des membres du réseau social, et donc de récupérer leurs données personnelles, comme leur nom, leur date de naissance ou encore leur e-mail.
D’après les chercheurs, la faille leur aurait permis de leurrer facilement leurs victimes, en exploitant l’une des options de l’application TikTok : récupérer un mot de passe en envoyant un code de confirmation sur son numéro de téléphone.
Comment les chercheurs sont parvenus à détecter la faille de sécurité
Pour cela, Check Point a envoyé un faux sms aux utilisateurs contenant un lien de téléchargement piraté, en se faisant passer pour une communication officielle envoyée par la plateforme.
Lorsque le propriétaire du compte cliquait sur ce lien, il entrait ses identifiants de connexion.
Les chercheurs pouvaient alors accéder au compte et aux vidéos enregistrées en privé pour les publier, supprimer des contenus ou récupérer les données personnelles de l’utilisateur piraté.
TikTok invite les chercheurs à trouver d’autres failles de sécurité
TikTok a été contacté par les chercheurs de Check Point le 15 novembre dernier. Deux semaines plus tard, le réseau social a corrigé la faille de sécurité dans la dernière version mise à jour par l’application.
« TikTok s’est engagé à protéger les données de ses utilisateurs. Nous encourageons les chercheurs en sécurité à nous faire part en privé des failles zéro-day, a déclaré Luke Deshotels, un membre du service de sécurité de TikTok, dans un communiqué relayé par The Verge. Avant de dévoiler cette histoire au public, nous avions convenu avec CheckPoint de patcher l’intégralité des problèmes signalés sur la dernière version de notre application. Nous espérons que cette expérience réussie va encourager de futures collaborations avec des chercheurs en sécurité. »
TikTok, l’application détenue par ByteDance depuis 2017 et qui compte 625 millions d’utilisateurs actifs par mois, est accusé de transfert de données privées de ses membres vers des serveurs chinois, dans le cadre d’une enquête menée par les États-Unis. Des rumeurs font état d’une possible vente de l’application par son propriétaire à de potentiels acheteurs, pour que la société mère puisse redorer son image.
Évaluez BDM
Simple ou compliqué, ennuyeux ou captivant... nous avons besoin de vous pour améliorer notre site. Quelques minutes suffisent !
Je donne mon avisLes meilleurs outils pour les professionnels du web
Norton Small Business
Surfshark Antivirus
ManageEngine ADSelfService Plus
