TikTok a confirmé une vulnérabilité zero-day que les attaquants ont exploitée pour pirater plusieurs comptes appartenant à des célébrités et à des marques. Les attaquants ont exploité une faille de sécurité non spécifiée dans la fonctionnalité de messages directs (DM) de l'application de réseau social. La société a réussi à stopper l'attaque, mais pas avant que quelques grands comptes n'en soient la proie.
La vulnérabilité Zero Day de TikTok a compromis quelques grands comptes
Les vulnérabilités Zero Day sont des failles de sécurité qui n'ont pas de correctif officiel ou qui manquent d'informations publiques détaillant la faille. Dans ce cas, une vulnérabilité dans la fonctionnalité DM de TikTok permettait aux attaquants de détourner des comptes en envoyant simplement un message. La cible n'a qu'à ouvrir le message malveillant. L'exploit ne nécessite pas de télécharger de fichier ni de cliquer sur un lien. Il suffit d'ouvrir le message pour qu'un utilisateur remette son compte à l'attaquant.
Au cours de la semaine dernière, des attaquants ont exploité cette vulnérabilité pour pirater plusieurs comptes TikTok importants, notamment des comptes appartenant à Sony, CNN et Paris Hilton. CNN aurait été le premier compte à avoir été victime de l'attaque. Les comptes compromis ont ensuite été temporairement supprimés, soit par TikTok, soit par les titulaires du compte, pour éviter les abus. Au moment d'écrire ces lignes, TikTok ne semble pas avoir corrigé la vulnérabilité, mais il a stoppé l'attaque.
« Notre équipe de sécurité est consciente d'un exploit potentiel ciblant un certain nombre de comptes de marques et de célébrités », a déclaré le porte-parole de TikTok, Alex Haurek, dans une déclaration à Forbes. « Nous avons pris des mesures pour mettre fin à cette attaque et empêcher qu’elle ne se reproduise à l’avenir. Nous travaillons directement avec les propriétaires de comptes concernés pour restaurer l'accès, si nécessaire. Haurek n'a pas précisé le nombre de comptes compromis mais a déclaré qu'il s'agissait d'un « très petit nombre ».
TikTok n’a pas encore détaillé la vulnérabilité qui a permis aux attaquants de pirater si facilement des comptes. Il ne partagera probablement pas plus de détails tant que la faille ne sera pas corrigée. C'est la pratique standard avec les vulnérabilités Zero Day. Les détails ne sont partagés que lorsque la majorité des utilisateurs ont installé le correctif. Espérons que les mesures de sécurité temporaires contre la faille soient suffisamment fortes pour empêcher de nouvelles attaques. Les utilisateurs de TikTok doivent éviter d’ouvrir des DM suspects.
TikTok a subi des rachats de comptes à plusieurs reprises dans le passé
Ce n’est pas la première fois qu’une vulnérabilité de TikTok entraîne des piratages de comptes. La plateforme de médias sociaux a subi des attaques similaires à de nombreuses reprises dans le passé. Plus récemment, une faille dans une application Android a permis aux attaquants de s’emparer discrètement de comptes en un seul clic. TikTok a également rencontré de nombreux autres problèmes de confidentialité. Vous devez toujours garder l'application à jour et rester vigilant pour éviter les problèmes de confidentialité et de sécurité. Vous pouvez mettre à jour l'application depuis le Google Play Store.
