Les experts en sécurité recommandent aux utilisateurs de TikTok de changer leurs mots de passe et de s’assurer que l’authentification à deux facteurs (2FA) est activée sur leur compte.
Au début du mois, des experts en sécurité ont découvert une grave vulnérabilité de TikTok qui aurait pu exposer les utilisateurs à une prise de contrôle de leur compte en un seul clic. Ce problème, qui touchait les utilisateurs de l’application sur Android, a depuis longtemps été corrigé par TikTok. Cependant, plusieurs informations font état d’un piratage de TikTok US. Un porte-parole du réseau social a déclaré aux journalistes qu’aucune preuve de violation de la sécurité n’avait été trouvée.
L’application TikTok piratée ?
Les premiers rapports sur un piratage présumé sont apparus sur le forum de discussion Breach Forums, le 3 septembre. Un utilisateur portant le pseudonyme de « AgainstTheWest » a publié ce qui était censé être des captures d’écran d’une violation de la sécurité de TikTok et de WeChat. Dans cette publication, l’utilisateur a déclaré, en faisant référence aux données prétendument volées, qu’il n’avait « pas encore décidé s’il voulait les vendre ou les rendre publiques. » Un lien vers deux échantillons de données a été publié, ainsi qu’une vidéo d’un ensemble de données. L’auteur affirme en outre avoir extrait deux milliards d’enregistrements de la base de données piratée. Dans une publication du 3 septembre sur Twitter, l’utilisateur BlueHornet|AgainstTheWest affirme également avoir volé « le code source interne du back-end. »
Aucune preuve de violation de la sécurité pour TikTok
Contacté par Forbes, un porte-parole de TikTok a déclaré : « TikTok donne la priorité à la confidentialité et à la sécurité des données de ses utilisateurs. Notre équipe de sécurité a enquêté sur ces allégations et n’a trouvé aucune preuve d’une violation de sécurité ».
Une déclaration antérieure abordait directement l’allégation de code source volé : « Notre équipe de sécurité a enquêté sur ces allégations et a déterminé que le code en question n’a absolument aucun rapport avec le code source backend de TikTok ».
La question de savoir d’où proviennent ces données reste donc sans réponse.
Troy Hunt, du site d’information sur les violations de données haveibeenpwned, a publié un long message sur Twitterpour tenter de vérifier si l’échantillon de données est authentique ou non. Après de nombreuses analyses, il conclut que les preuves sont « jusqu’à présent assez peu concluantes. » Troy Hunt poursuit en indiquant que certaines données correspondent aux informations de production, mais elles sont également disponibles publiquement de toute façon. Il a également trouvé des données « inutiles », mais concède qu’il pourrait s’agir de données de non-production ou de test.
Dans un fil de discussion du forum Hacker News, il a été suggéré que les données pourraient provenir non pas de TikTok, mais plutôt d’une application tierce qui s’intègre à TikTok à des fins de marketing ou de commerce électronique. Cependant, il n’est pas évident pour l’heure que des tiers aient accès à ce type de données, et encore moins qu’il y ait eu une violation.
Un indice sur l’origine de la brèche avec les données de tiers divulguées ?
La suspicion que la fuite de données de TikTok était en fait une violation de la base de données d’un tiers semble être confirmée maintenant. Un porte-parole de TikTok a envoyé cette déclaration à Forbes :
« Notre équipe de sécurité n’a trouvé aucune preuve d’une violation de sécurité. Nous avons confirmé que les échantillons de données en question sont tous accessibles au public et ne sont pas dus à une compromission des systèmes, réseaux ou bases de données de TikTok. Les échantillons semblent également contenir des données provenant d’une ou plusieurs sources tierces non affiliées à TikTok. Nous ne pensons pas que les utilisateurs doivent prendre des mesures proactives, et nous restons attachés à la sûreté et à la sécurité de notre communauté mondiale. »
Les experts en matière de violation de données avaient déjà suggéré que les échantillons partagés par AgainstTheWest comprenaient des données extraites. Il s’agit de données accessibles au public qui ont été collectées, souvent au moyen de processus automatisés (bots), et compilées dans une base de données à des fins de marketing ou de commerce électronique. La déclaration actualisée de TikTok confirme que c’est bien le cas. Il n’est certainement pas inhabituel que de telles bases de données comprennent des données provenant de diverses sources, ce qui est également confirmé par la mention de données de tiers dans la déclaration.
Cette hypothèse n’est cependant pas aussi simple qu’elle pourrait l’être. Selon un rapport de Bleeping Computer, un porte-parole de TikTok a déclaré que toute fuite de données ne pouvait pas provenir d’une « collecte directe » sur la plateforme, car TikTok dispose de « garanties de sécurité adéquates pour empêcher les scripts automatisés de collecter des informations sur les utilisateurs. »
La confirmation de la connexion avec une tierce partie a été apportée par Bob Diachenko, un analyste de renseignements sur les cybermenaces bien connu pour son travail sur les fuites et les violations de bases de données, qui a tweeté après avoir analysé les échantillons de données de la prétendue violation de TikTok. Bob Diachenko affirme que les données proviennent probablement d’une entreprise basée à Hangzhou, dans la province du Zhejiang, en Chine.
Dans ses derniers messages Twitter sur le sujet, Troy Hunt a déclaré qu’il n’a encore rien vu qui permette de vérifier une violation de TikTok. Il n’y a pas « d’adresses électroniques dont nous pouvons confirmer l’existence via un vecteur d’énumération (comme la réinitialisation du mot de passe) », a tweeté Troy Hunt, ni de « hackages de mots de passe qui correspondent aux comptes. »
Entre-temps, le compte AgainstTheWest sur le forum du marché des failles de sécurité où ont été publiés les prétendus échantillons de données de TikTok a été banni. En plus de la suppression de ces messages, les administrateurs du forum ont déclaré qu’ils avaient banni l’utilisateur pour avoir « menti sur les violations de données. » Twitter a également suspendu le compte utilisateur BlueHornet|AgainstTheWest.
Que doivent faire les utilisateurs de TikTok maintenant ?
Bien que la dernière déclaration de TikTok indique que les utilisateurs n’ont pas besoin de prendre des mesures proactives, il n’y a aucun mal à faire preuve d’une grande prudence. Les utilisateurs de TikTok devraient modifier leurs mots de passe et e s’assurer que l’authentification à deux facteurs (2FA) est activée pour une protection supplémentaire.
Jake Moore, conseiller en cybersécurité mondiale chez ESET, partage cet avis : « Bien que ces données puissent n’être que des données largement publiques qui ont été extraites ouvertement du site, elles soulignent néanmoins le fait que la plus grande plateforme de réseaux sociaux au monde attire les hackers et qu’ils continueront à être implacables et à rechercher toute vulnérabilité si elle existe. Qu’il s’agisse de données véritablement privées rendant chaque compte potentiellement vulnérable ou simplement d’informations ouvertes du site, les utilisateurs doivent s’assurer que les alertes de sécurité sont activées dans l’application et que l’authentification à deux facteurs est également activée, et s’assurer que leur mot de passe utilisé sur le compte est unique par rapport à tout autre compte ».
Article traduit de Forbes US – Auteur : Davy Winder
<<< À lire également : Cinq industries qui vont exploser sur TikTok en 2022 >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits