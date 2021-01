TikTok : une faille a permis de révéler les numéros de téléphone des utilisateurs

Il y a 3 heures

Julien Russo

6

Plusieurs chercheurs en sécurité de la société Check Point ont découvert une inquiétante faille de sécurité dans l'application de vidéos courtes TikTok. Celle-ci serait en plein coeur du système de synchronisation des contacts avec les profils utilisateurs, une fonctionnalité qui cherche à retrouver des proches qui utiliseraient TikTok.

Publicité

TikTok victime d'une importante faille

TikTok est aujourd'hui l'une des applications les plus populaires dans le monde, grâce à ses vidéos courtes, ByteDance a réussi à attirer les adolescents, mais aussi les adultes. Pour vous aider à vous sentir comme chez vous quand vous utilisez l'app, ByteDance a eu la formidable idée de scanner les contacts enregistrés sur votre iPhone pour tenter de retrouver vos amis s'ils sont déjà sur TikTok.

Le principe est simple, le processus a pour but de récupérer les numéros de téléphone et noms de vos proches et de croiser les informations avec sa base de données. Résultat, si un compte TikTok comporte le numéro de téléphone, vous allez facilement retrouver cette personne dans l'application. Ce système est identique à ce que fait Snapchat pour vous suggérer d'ajouter de nouvelles personnes !



Si l'initiative part sur une bonne intention, les développeurs de TikTok n'ont pas sécurisé cette fonctionnalité ou du moins pas assez bien.

Quand vous utilisez la recherche de vos amis, celle-ci exécute deux requêtes HTTP : dans un premier temps l'envoi du nom des contacts et des numéros de téléphones vers les serveurs de ByteDance et dans un second temps l'exécution d'une tentative de correspondance pour retrouver un pseudo d'utilisateur.

Les experts de Check Point ont rapidement compris qu'il était possible de contourner la procédure de sécurité de TikTok, voici ce qu'ils déclarent :

La principale question de recherche que nous avons posée était la suivante : un seul utilisateur peut-il interroger la base de données de TikTok et provoquer une violation de la vie privée ? La réponse a été oui : nous avons constaté qu'un acteur menaçant peut manipuler avec succès le processus de connexion en contournant la signature de messages HTTP de TikTok, automatisant ainsi le processus de téléchargement et de synchronisation des contacts à grande échelle, ce qui finirait par construire une base de données d'utilisateurs et de leurs numéros de téléphone connectés pour que l'acteur de menace puisse potentiellement cibler.

Une situation est assez inquiétante surtout quand on sait que TikTok a dépassé les 2 milliards de téléchargements sur iOS et Android dans le monde. Heureusement, avant la publication de ce rapport, Check Point a alerté la firme chinoise qui a depuis corrigé l'anomalie !

Publicité

Télécharger l'app gratuite TikTok