Selon un nouveau rapport d’experts en cybersécurité, les multiples vulnérabilités de l’application mobile chinoise TikTok auraient permis à des pirates informatiques de s’emparer de comptes utilisateurs et d’exploiter leurs données personnelles.
Le rapport du 8 janvier de la société israélienne de cybersécurité Checkpoint révèlent une série de failles qui pourraient permettre aux attaquants de manipuler le contenu des utilisateurs, de télécharger et de supprimer des vidéos, et de révéler des données sensibles telles que les dates de naissance, les informations bancaires et les adresses électroniques.
La plateforme chinoise de partage de vidéos courtes – actuellement soumise à un examen approfondi en raison de ses risques potentiels pour la sécurité nationale aux États-Unis – a explosé en popularité en 2019 et était l’une des applications les plus téléchargées au monde en octobre. Elle compte 26,5 millions d’utilisateurs actifs par mois aux États-Unis.
Les experts de Checkpoint déclarent que les problèmes de sécurité ont existé toute l’année 2019, ce qui soulève de « sérieuses questions » quant à savoir si quelqu’un en a été victime, selon la BBC.
À la suite de la publication du rapport, Luke Deshotels, un porte-parole de TikTok, a déclaré dans un communiqué que tous les problèmes de sécurité signalés par l’entreprise ont été corrigés dans la dernière version de l’application.
L’une des failles, appelée « SMS link spoofing », permet aux attaquants d’envoyer de faux messages à n’importe quel numéro de téléphone en se faisant passer pour TikTok.
La fonction d’envoi de SMS sur la page d’accueil de l’application permet aux utilisateurs de s’envoyer des textos pour télécharger l’application. En profitant de cette fonction, les pirates peuvent envoyer des messages contenant un lien malveillant, qui leur donne accès à l’utilisateur une fois qu’il a cliqué dessus, selon le rapport.
Les chercheurs ont également découvert une faiblesse dans l’infrastructure de TikTok, qui permet aux pirates de rediriger les utilisateurs vers des sites malveillants déguisés en sites légitimes.
Grâce à une faille dans le sous-domaine publicitaire de TikTok, les chercheurs ont pu récupérer des renseignements personnels à partir des comptes d’utilisateurs, y compris la date de naissance.
Les chercheurs ont également pu détourner l’application en y injectant un code malveillant, ce qui leur a permis d’exécuter d’autres fonctions au nom de la victime, notamment de créer des vidéos, de rendre publique une vidéo privée et d’approuver les demandes d’abonnés.
Oded Vanunu, le chef de l’équipe de recherche sur la vulnérabilité de Checkpoint, a déclaré au New York Times que les vulnérabilités identifiées étaient toutes « au cœur des systèmes de TikTok ».
« Les acteurs malveillants dépensent de grosses sommes d’argent et font de gros efforts pour pénétrer dans des applications aussi populaires. Pourtant, la plupart des utilisateurs supposent qu’ils sont protégés par l’application », a déclaré M. Vanunu dans un communiqué du 8 janvier.
Check Point a alerté ByteDance, propriétaire de TikTok, en novembre, a rapporté la BBC.
Risques de sécurité
Au cours des derniers mois, TikTok a été au centre de controverses sur ses risques de sécurité.
Les différentes branches de l’armée américaine ont demandé à leur personnel de supprimer l’application de leurs téléphones publics à la suite d’une directive du Pentagone émise à la mi-décembre.
Le ministère de la Défense américain a mis en garde contre le « risque potentiel » que l’application fait courir aux informations personnelles des utilisateurs.
Le Comité sur les investissements étrangers aux États-Unis a de plus récemment ouvert une enquête sur l’acquisition de l’application américaine Musical.ly par le propriétaire de TikTok et la société technologique chinoise ByteDance en 2017, pour un montant de 1 milliard de dollars.
Plusieurs sénateurs ont par ailleurs critiqué publiquement TikTok pour avoir censuré du contenu potentiellement sensible au régime chinois.
Enfin, une étudiante de l’université de Californie a récemment intenté un procès à TikTok, alléguant que la société avait créé un compte à son insu et recueilli des informations biométriques à son sujet.
« TikTok a clandestinement aspiré et transféré sur des serveurs en Chine de vastes quantités de données privées sur des utilisateurs, qui peuvent être utilisées pour identifier, profiler et suivre l’emplacement et les activités d’utilisateurs aux États-Unis, aujourd’hui et à l’avenir », selon la plainte du tribunal.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.
