Des données personnelles exposées à cause d’une faille de sécurité sur TikTok
Récemment, les chercheurs en sécurité informatique de la société CheckPoint Research, une spécialiste dans les questions des solutions de sécurité ont découvert une faille de sécurité dans l’une des principales fonctionnalités du réseau social d’origine chinoise TikTok.
Tenant en compte du fait que l’application n’avait pas déjà une bonne réputation en 2020 à cause de multiples failles de sécurité découverte au cours de l’année, la société de sécurité informatique Checkpoint a averti la maison mère de l’application de la vulnérabilité susmentionnée. La faille de sécurité affecte principalement l’outil de gestion de confidentialité. Pas seulement, au niveau de la fonctionnalité qui permet de se faire de nouveaux amis, « Trouver des amis », la faille de sécurité est belle et bien présente là-bas ce qui permet aux pirates informatiques de pouvoir dans l’application.
En effet grâce à cette vulnérabilité, les cybercriminels peuvent avoir accès à des fichiers personnels utilisateurs de l’application de partage de vidéos.
Cet article va aussi vous intéresser : TikTok vs l’administration Américaine : un sursis pour l’entreprise Chinoise
La vulnérabilité permet aux pirates informatiques de contourner en se servant de la fonctionnalité susmentionnée, la protection de confidentialité qui permet de protéger les données privées des utilisateurs. La bonne nouvelle dans l’histoire c’est que la faille a déjà été corrigée. Il a été mis à disposition un correctif de sécurité pour l’ensemble des utilisateurs. Cependant de ne pas faire les mises à jour expose grandement ces derniers. Tous ceux qui n’ont pas encore pratiquer fait mise à jour sont vivement invités à le faire. En ce moment les pirates informatiques sont à l’affût. Le moindre écart de conduite est susceptible de créer des conséquences plus graves.
Par ailleurs, les informations que les pirates informatiques auraient pu récolter grâce à cette vulnérabilité sont parmi tant d’autres :
– les photos de profil ;
– les photos de l’avatar ;
– les identifiants unique ;
– le statut du compte ;
– le numéro de téléphone.
En d’autres termes en des informations totalement privées.
En pratique ce n’est pas la première fois, que la société de cybersécurité Check Point Research découvre des failles de sécurité sur le réseau social et les met à la connaissance des propriétaires. Déjà durant le mois de janvier 2020, la société ai dit tresser des solutions de sécurité informatique mettait à la connaissance de Bytedance, la maison mère de TikTok plusieurs failles de sécurité, qui si elles étaient exploitées aurait pu permettre avec pirate informatique de facilement accéder au contenu de compte d’utilisateurs, pour effectuer certaines tâches en lieu et place de ces derniers. Cela, sans même que le titulaire du compte ne puisse s’en apercevoir.
« Notre principale motivation, cette fois-ci, était d’explorer la confidentialité de TikTok. Nous étions curieux de savoir si la plateforme TikTok pouvait être utilisée pour obtenir des données privées sur les utilisateurs. Il a été révélé que la réponse était oui, car nous avons pu contourner les multiples mécanismes de protection de TikTok, conduisant ainsi à une faille de sécurité impactant la confidentialité », expliques-en ces termes Oded Vanunu, le responsable de la recherche sur les vulnérabilités des produits chez Check Point,
De son côté, les responsables du réseau social n’ont pas manqué de soulever avoir « apprécié le travail de partenaires de confiance comme Check Point pour identifier les problèmes potentiels rencontrés, résolus avant qu’ils puissent affecter les utilisateurs ».
Pour exploiter la vulnérabilité qui est déjà corrigé il faut le préciser, les chercheurs de Checkpoints ont procédé par quatre étapes :
Dans un premier temps les chercheurs ont créé liste d’outils pour interroger les serveurs du réseau social. « Ensuite, ils ont créé une liste de jetons de session utilisés pour interroger les serveurs de TikTok. Il faut savoir, ici, que chaque jeton de session est alors valable 60 jours. Puis, les chercheurs ont contourné le mécanisme de signature des messages HTTP de l’application en utilisant son propre service de signature, alors exécuté en arrière-plan. Enfin, la dernière étape consistait en la modification des requêtes HTTP et de la signature, puis en l’utilisation de plusieurs jetons de session et identifiants d’appareils, pour pouvoir contourner les mécanismes de protection de TikTok. » détaille Oded Vanunu. Bien sûr, le danger est écarté si les utilisateurs répondent comme il se doit à l’application de la mise à jour qui leur a été fournie.
Accédez maintenant à un nombre illimité de mot de passe :