TikTok : une énorme faille permet aux pirates de publier des vidéos sur votre compte

 

Deux chercheurs en sécurité ont démontré comment une faille de TikTok permet à des pirates de diffuser des vidéos depuis le compte de n'importe quel utilisateur de l'application. Le portée de cette attaque peut être importante lorsqu'elle est exploitée sur des comptes populaires. Les chercheurs ont réussi à diffuser de fausses vidéos sur le coronavirus depuis le compte TikTok de l'OMS et de la Croix-Rouge britannique.

TikTok

Imaginez un scénario où vous êtes en train de parcourir vos vidéos publiées sur TikTok et puis tout à coup, vous remarquez qu'un contenu que vous n'avez pas mis en ligne est diffusé depuis votre compte. Ceci est bien possible, comme le prouvent deux chercheurs : Tommy Mysk et Talal Haj Bakry. Ils viennent de publier un rapport montrant qu'il est possible à un hacker de remplacer des vidéos sur n'importe quel compte TikTok.

Comme tous les réseaux sociaux et applications de messagerie, TikTok s'appuie sur des réseaux de distribution de contenu (CDN) pour diffuser géographiquement les contenus publiés sur sa plateforme. Contrairement à la plupart de ses concurrents, TikTok a choisi de diffuser les vidéos via le protocole HTTP non sécurisé.

Ce faisant, l'application qui compte plus d'un milliard d'utilisateurs dans le monde améliore les performances de transfert de données depuis ses serveurs. C'est le principal avantage de ce protocole, mais ce choix a été fait au détriment de la sécurité des utilisateurs. En effet, le trafic HTTP peut être facilement intercepté, voire dérouté par des acteurs malveillants.

TikTok : des pirates peuvent diffuser massivement de fausses vidéos sur le réseau social

En exploitant les faiblesses du protocole HTTP, un attaquant peut échanger des vidéos publiées par des utilisateurs de TikTok avec des vidéos différentes, y compris celles provenant de comptes populaires. Toutes les vidéos postées sur TikTok sont distribuées aux utilisateurs via différents CDN qui acheminent les vidéos vers les utilisateurs qui les consultent. Comme l'expliquent les chercheurs, l'utilisation du protocole HTTP non chiffré en lieu et place du HTTPS rend possible des attaques de type man-in-the-middle.

En d’autres termes, un pirate peut s'interposer entre le CDN et les utilisateurs finaux avec la possibilité de lire les paquets transférés, voire de les altérer en les remplaçant par des flux provenant d'autres serveurs. « Ainsi, l'attaquant peut diffuser des Fake News dans une vidéo de spam en lieu et place des contenus réellement publiés par une célébrité ou à un compte de confiance ».

Pour y parvenir, le pirate doit dans un premier temps réussir à corrompre le DNS des utilisateurs ciblés en les renvoyant vers un faux serveur qui imite l'adresse des CDN de TikTok. Cette tâche n'est évidemment pas si simple puisque le hacker devra accéder au routeur de milliers d'utilisateurs pour changer les paramètres DNS . Cependant, il est tout à fait possible que des DNS populaires comme ceux des FAI soient directement piratés pour router le trafic des internautes vers des serveurs malicieux. Dans ce cas, de fausses vidéos sur TikTok pourraient potentiellement être diffusées auprès de millions d'utilisateurs.

Lire également : L’application TikTok est bannie des smartphones de la marine américaine

Les chercheurs ont publié une preuve de concept qui a consisté à diffuser de fausses vidéos sur le coronavirus depuis des comptes de confiance comme ceux de l'OMS ou encore de la Croix-Rouge britannique et américaine. Ils se sont néanmoins arrangés pour que seuls les utilisateurs connectés à leur propre réseau puissent voir les vidéos (modification des paramètres DNS du réseau local).

Enfin, cette faille reste toujours exploitable à l'heure où ces lignes sont écrites. Les chercheurs recommandent au réseau social de passer au protocole HTTPS sécurisé qui est fortement défendu par des firmes comme Google. La réaction de TikTok est toujours attendue.

Source : Mysk Blog



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
  • whatsapp unsplash
    WhatsApp : Facebook veut analyser vos messages chiffrés à des fins publicitaires

    Selon un nouveau rapport de The Information, Facebook recherche des moyens d’analyser les données chiffrées, telles que les messages WhatsApp, sans décrypter les informations qu’ils contiennent. Facebook aurait réuni une équipe de chercheurs en intelligence artificielle pour étudier les moyens…

  • facebook
    Facebook interdit désormais aux marques de cibler les mineurs avec leurs publicités

    Facebook a annoncé que les publicités s’adressant aux mineurs seront interdites sur l’ensemble de ses plateformes. Plus précisément, les publicitaires ne pourront plus s’appuyer sur les centres d’intérêt des utilisateurs de moins de 18 ans et devront se contenter d’informations comme…

  • Instagram iphone
    Instagram : les moins de 16 ans ont désormais un compte privé par défaut

    Instagram a décidé de prendre des mesures pour améliorer la protection de sa jeune communauté en rendant privé les comptes des utilisateurs de moins de 16 ans dès leur inscription. Si la communauté Instagram est essentiellement composée d’adolescents, le réseau…

  • instagram icones smartphone
    Instagram : le nouveau filtre de sensibilité énerve les utilisateurs du réseau social

    Les utilisateurs d’Instagram partagent actuellement une préoccupation majeure : le nouveau filtre de contenu sensible de l’application pourrait faire obstacle à leurs publications et ainsi censurer leur travail. Régulièrement, les réseaux sociaux revoient leur politique de sensibilité et retravaille leur…

  • facebook messenger emojis
    Facebook Messenger met les émojis en avant dans sa dernière mise à jour

    Facebook Messenger vient de recevoir une nouvelle mise à jour. Au programme, plusieurs fonctionnalités inédites toutes dédiées aux émojis, à l’image des Soundmojis, la dernière trouvaille de Facebook. En sa qualité de messagerie préférée des Français aux côtés de WhatsApp,…

  • clubhouse 6
    Clubhouse : tout savoir sur le réseau social dont tout le monde parle

    Fonctionnement, système d’invitation, disponibilité, polémique sur la collecte des données personnelles… nous vous expliquons tout ce qu’il faut savoir sur Clubhouse, l’application sociale qui cartonne. Lancé en avril 2020 par Alpha Exploration Co., le réseau social Clubhouse est rapidement devenu…

  • Capture
    Clubhouse : fin du système d’invitations, nouveau logo, la jeune application se refait une beauté

    L’application Clubhouse a un peu plus d’un an maintenant. Elle se refait une beauté aujourd’hui avec un tout nouveau logo, mais aussi la fin du système d’invitations. Pour rappel, Clubhouse est une app qui permet de créer des salons autour…

  • instagram widgets ios
    Instagram intègre les widgets d’iOS 14 pour changer de compte rapidement

    Instagram cherche actuellement à intégrer les widgets d’iOS 14 sur son application. Grâce à cette fonctionnalité, les utilisateurs avec plusieurs comptes seront en mesure de passer de l’un à l’autre plus rapidement qu’à l’accoutumée. En février 2021, Apple a lancé…

  • joe biden decret tiktok
    Joe Biden accuse Facebook de tuer des gens, le réseau social répond

    Joe Biden s’est violemment attaqué à Facebook et aux réseaux sociaux. Le président des Etats-Unis a accusé les plateformes de “tuer des gens” en laissant circuler de fausses informations sur les vaccins. Facebook est rapidement monté au créneau pour se…

  • facebook soundmojis messenger
    Facebook Messenger lance les Soundmojis, des emojis qui font du bruit

    Facebook Messenger se dote d’une nouvelle fonctionnalité : les Soundmojis. Comme son nom l’indique, il s’agit ni plus ni moins d’emojis qui s’accompagnent d’un extrait sonore, comme des grillons, le bêlement d’une chèvre, un rire diabolique ou des applaudissements. Au…