Une faille de sécurité de type zero day a permis à des pirates informatiques de prendre le contrôle de nombreux comptes TikTok. La méthode employée pour hacker les comptes en question est d’une simplicité déconcertante.
La popularité de TikTok est telle que la plateforme sociale est la cible régulière de hackers en quête de profits faciles et de potentiel de nuisance. Cela en motive beaucoup à chercher la moindre faille, et à l’exploiter sans vergogne jusqu’à ce qu’elle soit colmatée.
Lorsqu’on parle de faille zero day, on parle d’une vulnérabilité présente dans un logiciel ou un site, mais dont le propriétaire n’a pas encore connaissance, ou bien qu’il n’a pas encore corrigé. Ce genre de faille se présente comme du pain béni pour les pirates informatiques, qui peuvent œuvrer tranquillement en les exploitant. Et c’est une vulnérabilité de ce genre qui a récemment touché TikTok.
Un simple message privé pour lancer le piratage
L’affaire, relevée par le média Forbes, explique que les utilisateurs qui se sont fait pirater leur compte TikTok via cette faille n’ont eu qu’à ouvrir un DM pour activer le piège. En effet, le procédé conçu par les hackers ne nécessite aucune autre action, ni clic quelconque, ni téléchargement : une fois le message privé ouvert, il est déjà trop tard.
A l’intérieur du message se trouve du code qui s’exécute immédiatement, dans le but d’installer un malware dont la finalité est la prise de contrôle du compte TikTok. Le mot de passe se retrouve alors changé, et le propriétaire légitime n’y a plus accès. Cependant, selon les observations de Forbes, les hackers n’ont globalement pas utilisé les comptes piratés pour publier du contenu : leurs motivations restent donc floues.
Des comptes de célébrités ciblés
Autre point à ne pas négliger : celui qui concerne les cibles privilégiées de cette attaque. Il s’agirait essentiellement de comptes de célébrités et de grandes entreprises : le compte de Paris Hilton fait partie du lot, et c’est aussi le cas des comptes de CNN et de Sony. La liste est non exhaustive et il reste difficile de réellement savoir combien de comptes ont été infectés. Selon ByteDance, la maison-mère de TikTok, il y en aurait cependant « très peu », mais l’entreprise a refusé de communiquer sur des chiffres précis.
Par conséquent, il est difficile de savoir si l’attaque a été très ciblée, avec des envois manuels de messages, ou bien restreints à une petite liste de comptes stratégiques, ou bien si des utilisateurs lambdas ont été concernés également.
TikTok a déjà corrigé le problème
Le porte-parole de l’entreprise a déclaré à Forbes que la faille avait d’ores et déjà été comblée. « Nous avons pris des mesures pour arrêter cette attaque et empêcher qu'elle ne se reproduise à l'avenir. Nous travaillons directement avec les propriétaires de comptes affectés pour rétablir l'accès, si nécessaire », a-t-il expliqué.
De ce fait, si vous n’avez pas reçu de DM étrange sur TikTok, vous ne devriez pas être concerné par cette faille de sécurité. Mais la prudence reste tout de même de mise : si vous recevez un message d’un utilisateur que vous ne connaissez pas, ne l’ouvrez pas si vous avez le moindre doute.