Des comptes TikTok très suivis de célébrités comme Paris Hilton, de médias comme CNN ou de grandes marques comme Sony ont été la cible d'une cyberattaque. Un logiciel malveillant transmis par message privé serait à l'origine de ce piratage.
Bien que l'ampleur exacte de ce piratage reste inconnue, TikTok a reconnu qu'un « nombre très limité de comptes » avaient été compromis. L'entreprise assure travailler en étroite collaboration avec les utilisateurs concernés afin de rétablir leur accès et de renforcer les mesures de sécurité.
Cet incident tombe très mal pour TikTok, menacé d'interdiction aux États-Unis et qui n'est pas non plus dans les petits papiers de la France, notamment avec son interdiction en Nouvelle-Calédonie en mai 2024 et l'action de l'association « Algos Victima » pour faire condamner le réseau social.
21 novembre 2024 à 11h06
Une attaque zero day par message privé
Cette cyberattaque reposerait sur un code malveillant transmis par les messages privés de TikTok. Fait inquiétant, aucune action particulière ne serait requise de la part des utilisateurs visés au-delà de l'ouverture du message pour que le piratage ait lieu.
Il s'agirait d'une attaque qualifiée de « zero day », c'est-à-dire qu'elle exploite une vulnérabilité dont les développeurs n'avaient pas connaissance à l'avance, leur laissant « zéro jour » pour la prévenir. Si les comptes compromis ne semblent pas avoir publié de contenus malveillants, ils sont devenus inaccessibles.
Parmi eux, le compte officiel de CNN a dû être désactivé pendant plusieurs jours, forçant le média à travailler « en coulisses » avec TikTok sur des « mesures de cybersécurité supplémentaires ».
Sur le site Forbes, Alex Haurek, un porte-parole du réseau social préféré des jeunes utilisateurs, déclare : « Notre équipe de sécurité a récemment été alertée d'acteurs malveillants ciblant le compte TikTok de CNN. Nous avons collaboré étroitement avec CNN pour restaurer l'accès au compte et mettre en place des mesures de sécurité renforcées afin de protéger leur compte à l'avenir. Nous sommes déterminés à maintenir l'intégrité de la plateforme et continuerons à surveiller toute autre activité inauthentique. »
TikTok dans la tourmente
Le temps ne semble pas se remettre au beau pour TikTok, déjà sur la sellette aux États-Unis. En avril 2024, le président Joe Biden a en effet signé une loi obligeant la maison mère chinoise ByteDance à se séparer de la plateforme, sous peine de l'interdire sur le territoire américain. La raison ? Les craintes des législateurs que Pékin n'utilise TikTok pour espionner les citoyens américains ou influencer les contenus qu'ils voient, comme cela s'est produit en 2022. TikTok a déjà annoncé qu'il contesterait cette loi devant la justice.
Ce nouveau piratage ne fera qu'attiser les inquiétudes autour des pratiques de sécurité et de confidentialité de l'entreprise, qui avait déjà été condamnée en septembre 2023 à 345 millions d'euros d'amende pour avoir enfreint les règles européennes qui protègent la vie privée des enfants. Il s'inscrit en outre dans une série de failles découvertes ces dernières années.
En 2021, une campagne de phishing a compromis des comptes importants, comme ceux de créateurs de contenu ou de studios de production. En 2022, des chercheurs de Microsoft avaient mis au jour une vulnérabilité permettant de s'emparer de comptes en un seul clic avec un lien malveillant. Et le couac entre l'agence Reuters, qui affirme que TikTok tente de se refaire la cerise en créant son « clone » américain pour éviter son interdiction et divorcer à l'amiable de ByteDance. Le site qui dément formellement ces intentions ne fait rien pour arranger les choses.
Quoi qu'il en soit, sur TikTok comme ailleurs, chaque nouvelle cyberattaque appelle à la prudence et la vigilance. Protégez vos comptes et mots de passe, et ne répondez à aucun message privé d'inconnus.
