TikTok : une énorme faille permet aux pirates de publier des vidéos sur votre compte

 

Deux chercheurs en sécurité ont démontré comment une faille de TikTok permet à des pirates de diffuser des vidéos depuis le compte de n'importe quel utilisateur de l'application. Le portée de cette attaque peut être importante lorsqu'elle est exploitée sur des comptes populaires. Les chercheurs ont réussi à diffuser de fausses vidéos sur le coronavirus depuis le compte TikTok de l'OMS et de la Croix-Rouge britannique.

TikTok

Imaginez un scénario où vous êtes en train de parcourir vos vidéos publiées sur TikTok et puis tout à coup, vous remarquez qu'un contenu que vous n'avez pas mis en ligne est diffusé depuis votre compte. Ceci est bien possible, comme le prouvent deux chercheurs : Tommy Mysk et Talal Haj Bakry. Ils viennent de publier un rapport montrant qu'il est possible à un hacker de remplacer des vidéos sur n'importe quel compte TikTok.

Comme tous les réseaux sociaux et applications de messagerie, TikTok s'appuie sur des réseaux de distribution de contenu (CDN) pour diffuser géographiquement les contenus publiés sur sa plateforme. Contrairement à la plupart de ses concurrents, TikTok a choisi de diffuser les vidéos via le protocole HTTP non sécurisé.

Ce faisant, l'application qui compte plus d'un milliard d'utilisateurs dans le monde améliore les performances de transfert de données depuis ses serveurs. C'est le principal avantage de ce protocole, mais ce choix a été fait au détriment de la sécurité des utilisateurs. En effet, le trafic HTTP peut être facilement intercepté, voire dérouté par des acteurs malveillants.

TikTok : des pirates peuvent diffuser massivement de fausses vidéos sur le réseau social

En exploitant les faiblesses du protocole HTTP, un attaquant peut échanger des vidéos publiées par des utilisateurs de TikTok avec des vidéos différentes, y compris celles provenant de comptes populaires. Toutes les vidéos postées sur TikTok sont distribuées aux utilisateurs via différents CDN qui acheminent les vidéos vers les utilisateurs qui les consultent. Comme l'expliquent les chercheurs, l'utilisation du protocole HTTP non chiffré en lieu et place du HTTPS rend possible des attaques de type man-in-the-middle.

En d’autres termes, un pirate peut s'interposer entre le CDN et les utilisateurs finaux avec la possibilité de lire les paquets transférés, voire de les altérer en les remplaçant par des flux provenant d'autres serveurs. « Ainsi, l'attaquant peut diffuser des Fake News dans une vidéo de spam en lieu et place des contenus réellement publiés par une célébrité ou à un compte de confiance ».

Pour y parvenir, le pirate doit dans un premier temps réussir à corrompre le DNS des utilisateurs ciblés en les renvoyant vers un faux serveur qui imite l'adresse des CDN de TikTok. Cette tâche n'est évidemment pas si simple puisque le hacker devra accéder au routeur de milliers d'utilisateurs pour changer les paramètres DNS . Cependant, il est tout à fait possible que des DNS populaires comme ceux des FAI soient directement piratés pour router le trafic des internautes vers des serveurs malicieux. Dans ce cas, de fausses vidéos sur TikTok pourraient potentiellement être diffusées auprès de millions d'utilisateurs.

Lire également : L’application TikTok est bannie des smartphones de la marine américaine

Les chercheurs ont publié une preuve de concept qui a consisté à diffuser de fausses vidéos sur le coronavirus depuis des comptes de confiance comme ceux de l'OMS ou encore de la Croix-Rouge britannique et américaine. Ils se sont néanmoins arrangés pour que seuls les utilisateurs connectés à leur propre réseau puissent voir les vidéos (modification des paramètres DNS du réseau local).

Enfin, cette faille reste toujours exploitable à l'heure où ces lignes sont écrites. Les chercheurs recommandent au réseau social de passer au protocole HTTPS sécurisé qui est fortement défendu par des firmes comme Google. La réaction de TikTok est toujours attendue.

Source : Mysk Blog



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
whatsapp
WhatsApp partagera quand même certaines données avec Facebook en France

WhatsApp devrait tout de même partager certaines données personnelles d’utilisateurs en France avec Facebook après l’acceptation des nouvelles conditions d’utilisation. Des représentants du groupe l’ont confirmé à un journaliste de BFM TV. Facebook nous l’a assuré la semaine dernière par…

twitter fake news trump
Twitter : 73% de fake news en moins depuis l’exclusion de Donald Trump

Twitter s’est finalement résolu à bannir Donald Trump. Cette décision a eu un impact significatif sur la quantité de fausses informations qui polluent la plateforme. Depuis l’éviction du président sortant, le nombre de fake news partagées sur le réseau social a en effet baissé…

snapchat bannit trump
Snapchat bannit définitivement Donald Trump pour incitation à la violence

Snapchat a à son tour pris des mesures à l’encontre de Donald Trump. Le président américain a été définitivement interdit d’accès à son compte ce mercredi. La décision fait suite aux réactions similaires d’autres réseaux sociaux tels que Facebook, Twitter…

twitch suspend compte donald trump
Twitter suspend indéfiniment le compte de Donald Trump

Twitter vient de suspendre “de façon permanente” le compte de Donald Trump. Craignant de nouvelles incitations à la violence, le réseau social a décidé de mettre ses menaces à exécution. Le président sortant s’est rapidement tourné vers le profil officiel…

trump facebook
Facebook bannit indéfiniment le compte de Donald Trump

Facebook a décidé de bannir indéfiniment le compte de Donald Trump. Après les émeutes qui ont eu lieu au Capitol et la mort tragique d’une partisane Pro-Trump au sein même du bâtiment, le réseau social juge que le Président n’est…