Une vulnérabilité de Tiktok expose les données privées des utilisateurs
Par Check Point Research
Check Point Research (CPR) à découvert une vulnérabilité dans la fonction « Trouver des amis » de TikTok qui contourne sa protection de la confidentialité. Si elle n’avait pas été corrigée, la vulnérabilité aurait permis à un pirate d’accéder aux détails du profil d’un utilisateur et au numéro de téléphone associé à son compte, permettant ainsi de constituer une base de données d’informations utilisables dans le cadre d’une activité malveillante.
- Les chercheurs de CPR ont maintenant trouvé à deux reprises des failles de sécurité dans TikTok.
- Les détails des profils accessibles via la dernière vulnérabilité comprennent le numéro de téléphone, le surnom, les photos du profil et de l’avatar, les identificateurs uniques des utilisateurs et plus encore.
- CPR a communiqué les résultats des recherches à TikTok de manière responsable. Un correctif a été déployé.
Les chercheurs de CPR ont identifié une faille de sécurité dans la fonction « Trouver des amis » de TikTok. Si elle n’avait pas été corrigée, la vulnérabilité aurait permis à un pirate d’accéder aux détails du profil d’un utilisateur et au numéro de téléphone associé à son compte, permettant ainsi de constituer une base de données des utilisateurs et leurs numéros de téléphone utilisables dans le cadre d’une activité malveillante. Les détails des profils qui étaient accessibles via la vulnérabilité comprennent le numéro de téléphone, le surnom, les photos du profil et de l’avatar, les identificateurs uniques des utilisateurs, ainsi que certains paramètres du profil, comme le fait de savoir si un utilisateur est un abonné ou si le profil de l’utilisateur est caché.
Méthodologie de l’exploitation de la vulnérabilité
- Création d’une liste d’appareils (ID d’appareils) qui seront utilisés pour interroger les serveurs de TikTok.
- Création d’une liste de jetons de session (chaque jeton de session est valable pendant 60 jours) qui seront utilisés pour interroger les serveurs de TikTok.
- Contournement du mécanisme de signature des messages http de TikTok en utilisant son propre service de signature, exécuté en arrière-plan.
- Modification des requêtes http, signature et utilisation de différents jetons de session et identifiants d’appareils pour contourner les mécanismes de protection de TikTok.
CPR a communiqué ses conclusions de manière responsable à ByteDance, l’éditeur de TikTok. Une solution a été déployée pour garantir que les utilisateurs de TikTok puissent continuer à utiliser l’application en toute sécurité.
Précédentes études de TikTok menées par CPR
CPR à découvert des failles de sécurité dans TikTok à deux reprises. Le 8 janvier 2020, CPR a publié un article <https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/> sur un ensemble de vulnérabilités qui auraient pu permettre à un pirate d’accéder à des informations personnelles enregistrées dans les comptes d’un utilisateur, de manipuler les détails des comptes des utilisateurs ou d’effectuer les actions au nom d’un utilisateur sans son consentement.
Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point déclare : « Notre principale motivation, cette fois-ci, était d’explorer la confidentialité de TikTok. Nous étions curieux de savoir si la plateforme TikTok pouvait être utilisée pour obtenir des données privées sur les utilisateurs. Il s’avère que la réponse était oui, car nous avons pu contourner les multiples mécanismes de protection de TikTok, conduisant ainsi à une faille de sécurité impactant la confidentialité. La vulnérabilité aurait pu permettre à un pirate de constituer une base de données contenant les coordonnées des utilisateurs et leurs numéros de téléphone. Un pirate disposant d’un tel niveau d’informations sensibles pourrait mener toute une série d’activités malveillantes, notamment de phishing ou d’autres actions criminelles. Notre message aux utilisateurs de TikTok est de partager le strict minimum, lorsqu’il s’agit de vos données personnelles. Mettez à jour votre système d’exploitation et vos applications avec les dernières versions. »
Déclaration de TikTok : « La sécurité et la confidentialité de la communauté TikTok est notre plus grande priorité, et nous apprécions le travail de partenaires de confiance comme Check Point pour identifier les problèmes potentiels afin que nous puissions les résoudre avant qu’ils n’affectent les utilisateurs. Nous continuons à renforcer nos défenses, à la fois en améliorant constamment nos moyens internes, par exemple en investissant dans des défenses automatisées, et en travaillant avec des tiers. » – Porte-parole de TikTok