Des failles découvertes par des Israéliens dans l’application chinoise TikTok
Une équipe de Check Point explique que des vulnérabilités - qui ont été réglées depuis par le fabricant de l'application - auraient pu permettre aux hackers d'accéder aux comptes
Les chercheurs de la firme israélienne de cybersécurité Check Point Software Technologies Ltd. ont découvert que l’une des applications les plus populaires du monde – l’application chinoise TikTok, qui regroupe plus d’un milliard d’usagers sur tout le globe – était vulnérable aux attaques des pirates informatiques, des failles susceptibles de laisser les hackers accéder à des informations personnelles, telles que des données privées, des adresses courriels ou des vidéos sensibles.
Les chercheurs ont fait savoir qu’ils avaient informé les développeurs de TikTok des vulnérabilités découvertes dans leurs recherches et que la firme avait réglé ce problème de failles, a noté Check Point dans un communiqué émis mercredi.
TikTok est disponible sur plus de 150 marchés, en 75 langues. Au mois d’octobre 2019, TikTok était l’application la plus téléchargée aux Etats-Unis. C’est la première application chinoise à enregistrer un tel record.
L’application est particulièrement populaire chez les enfants et les adolescents qui l’utilisent pour créer de courtes vidéos musicales – en majorité des play-backs de 3 à 15 secondes – et de courtes vidéos en boucle de 3 à 60 secondes. TikTok permet aux usagers de partager, de conserver et de garder privées les clips (parfois très sensibles) des utilisateurs, de leurs amis et de leurs familles.
Cette application avait déjà attiré l’attention une première fois : L’armée et la marine américaine l’avaient interdite, l’année dernière, et une compagnie parente de TikTok a été examinée au regard de la sécurité nationale aux Etats-Unis.
En Israël, la police des frontières a interdit à ses officiers d’utiliser ce réseau social de partage de vidéos en raison, là encore, d’inquiétudes liées à la sécurité.
Dans leurs recherches, les employés de Check Point ont découvert qu’un hacker pouvait envoyer un message SMS – un canular en réalité – à un usager contenant un lien malin. Lorsque le destinataire du message ouvrait le lien infecté, le pirate se trouvait alors en capacité d’accéder à son compte TikTok et de manipuler ses contenus : Supprimer des vidéos, télécharger des clips non-autorisés et rendre les vidéos privées ou « cachées » publiques tout en révélant les informations personnelles enregistrées sur le compte, comme les mails privés.
Cette recherche a également permis de découvrir que le sous-domaine de TikTok, https://ads.tiktok.com, était exposé aux attaques XSS, un type d’attaque dans lequel des scripts malins sont injectés dans des sites internet généralement sans risque et dignes de confiance.
Les chercheurs de Check Point sont parvenus à utiliser cette vulnérabilité pour extraire des informations personnelles enregistrées sur des comptes utilisateurs, notamment des adresses courriel et les dates de naissance des usagers, a expliqué le communiqué.
Les chercheurs ont averti que les applications de réseaux sociaux sont en bonne place sur la liste des cibles des hackers et que même les applications les plus populaires sont risquées – une réalité dont la majorité des utilisateurs n’a guère conscience.
« Les données sont largement répandues mais les brèches, dans ces dernières, deviennent épidémiques et nos dernières recherches montrent que les applications les plus populaires restent risquées », commente Oded Vanunu, chef de la recherche de la vulnérabilité des produits chez Check Point.
« Les applications de réseaux sociaux sont hautement prises pour cible en termes de vulnérabilité car elles représentent une excellente source pour les données privées et qu’elles offrent un bon portail de surface d’attaque », poursuit-il.
« Les acteurs malveillants dépensent beaucoup d’argent et investissent beaucoup d’efforts pour pénétrer dans ces applications énormes. Et pourtant, la majorité des usagers présument encore qu’ils sont protégés par l’application qu’ils utilisent », ajoute-t-il.
Comme Luke Deshotels de l’équipe de sécurité de TikTok le dit dans le communiqué : « TikTok est attaché à la protection des données de ses utilisateurs. Comme de nombreuses organisations, nous encourageons les chercheurs responsables dans le secteur de la sécurité à dévoiler en privé les vulnérabilités au jour zéro ».
« Avant communication au public, CheckPoint a convenu que tous les problèmes rapportés avaient été résolus dans la dernière version de notre application. Nous espérons que cette résolution réussie de nos problèmes encouragera de futures collaborations avec les chercheurs dans le secteur de la sécurité », a-t-il poursuivi.