Les chercheurs de Check Point Research ont découvert que l'une des fonctionnalités phares de TikTok était soumise à l'incursion de cybercriminels.
Déjà pointée du doigt à plusieurs reprises pour ses failles de sécurité notamment au cours de l'année 2020, l'application TikTok, ou plutôt l'entreprise ByteDance, a été contactée par les spécialistes en cybersécurité de la société Check Point Research pour une nouvelle vulnérabilité, qui concerne la confidentialité de l'outil. Cette fois, la faille de sécurité a été localisée dans la fonction « Trouver des amis » de l'application de partage de vidéos.
Une faille qui rendait possible l'accès à de nombreuses données et fichiers personnels des utilisateurs
La faille décelée dans la fonctionnalité « Trouver des amis » contournait la protection de la confidentialité des données privées des utilisateurs. Si elle a été corrigée (les vulnérabilités n'étant révélées, rappelons-le, qu'après cette étape), la faille aurait pu, sans l'intervention de CPC, permettre à un hacker d'accéder à certaines données comme les détails du profil utilisateur et le numéro de téléphone associé au compte de ce dernier.
Une telle éventualité aurait pu permettre à un pirate informatique ou à un groupe de créer une véritable base de données d'informations qui aurait ensuite pu être utilisée pour mener des activités malveillantes.
Parmi les détails des profils qui ont été un temps accessibles du fait de cette vulnérabilité, on retrouve notamment le surnom, les photos du profil et de l'avatar, les identificateurs uniques, et le « statut » du compte (utilisateur abonné ou utilisateur caché), outre, nous le disions, le numéro de téléphone.
Le mécanisme de protection contournée, TikTok a corrigé la faille avant la communication de Check Point
Ce n'est en tout cas pas la première fois que Check Point Research relève une faille dans l'application préférée des jeunes. En janvier 2020, CPR avait révélé diverses vulnérabilités qui auraient permis l'accès au compte d'utilisateur, à ses détails, mais aussi la possibilité d'effectuer des actions directement depuis le compte, sans que son titulaire puisse s'en apercevoir instantanément.
« Notre principale motivation, cette fois-ci, était d’explorer la confidentialité de TikTok. Nous étions curieux de savoir si la plateforme TikTok pouvait être utilisée pour obtenir des données privées sur les utilisateurs. Il a été révélé que la réponse était oui, car nous avons pu contourner les multiples mécanismes de protection de TikTok, conduisant ainsi à une faille de sécurité impactant la confidentialité », témoigne le responsable de la recherche sur les vulnérabilités des produits chez Check Point, Oded Vanunu, au sujet de la faille de la fonction « Trouver des amis ». Ce dernier conseille par ailleurs de toujours bénéficier de la dernière version de TikTok, pour limiter les risques, et de ne partager que le strict minimum en données personnelles.
TikTok, de son côté, a déclaré avoir « apprécié le travail de partenaires de confiance comme Check Point pour identifier les problèmes potentiels » rencontrés, résolus avant qu'ils puissent affecter les utilisateurs.
🤔 La vulnérabilité décelée, expliquée par CPR en 4 étapes
Check Point Research, qui a attendu que ByteDance déploie un correctif avant de révéler la faille, explique en toute transparence les différentes étapes qui ont conduit à la découverte de la faille.
- D'abord, les chercheurs ont créé une liste d'appareils utilisés pour interroger les serveurs de TikTok.
- Ensuite, ils ont créé une liste de jetons de session utilisés pour interroger les serveurs de TikTok. Il faut savoir, ici, que chaque jeton de session est alors valable 60 jours.
- Puis, les chercheurs ont contourné le mécanisme de signature des messages HTTP de l'application en utilisant son propre service de signature, alors exécuté en arrière-plan.
- Enfin, la dernière étape consistait en la modification des requêtes HTTP et de la signature, puis en l'utilisation de plusieurs jetons de session et identifiants d'appareils, pour pouvoir contourner les mécanismes de protection de TikTok.