TikTok, de ByteDance, a dépassé le milliard d'utilisateurs mensuels il y a un an et est désormais l'application préférée de nombreux jeunes. Cela en fait une cible attrayante pour les pirates qui peuvent chercher à détourner des comptes populaires ou à revendre des informations sensibles.
TikTok, l'application de vidéos courtes qui compte parmi les plus téléchargées au monde, fait l'objet d'une attention accrue concernant la sécurité de ses données, alors qu'elle protège les informations personnelles de plus d'un milliard d'utilisateurs.
Lundi, plusieurs analystes en cybersécurité ont annoncé sur Twitter la découverte de ce qui serait une violation d'un serveur non sécurisé permettant d'accéder au stockage de TikTok, qui contiendrait des données personnelles d'utilisateurs. Quelques jours plus tôt, Microsoft Corp. avait déclaré avoir découvert une "vulnérabilité de haute gravité" dans l'application Android de TikTok, "qui aurait permis aux attaquants de compromettre les comptes des utilisateurs en un seul clic."
TikTok, de ByteDance Ltd., a dépassé le milliard d'utilisateurs mensuels il y a un an et est désormais l'application préférée de nombreux jeunes. Cela en fait une cible attrayante pour les pirates qui peuvent chercher à détourner des comptes populaires ou à revendre des informations sensibles. Elle a été identifiée comme une menace pour la vie privée par l'administration Trump en 2020 et a failli être interdite en raison de préoccupations concernant les liens potentiels entre sa société mère basée à Pékin et le gouvernement chinois.
TikTok a déclaré que les allégations d'une violation découverte au cours du week-end étaient incorrectes. "Notre équipe de sécurité a enquêté sur cette déclaration et a déterminé que le code en question n'a absolument rien à voir avec le code source backend de TikTok", a déclaré un porte-parole.
Troy Hunt, un consultant australien en sécurité web, a examiné certains des échantillons de données figurant dans les fichiers divulgués et a trouvé des correspondances entre les profils des utilisateurs et les vidéos publiées sous ces identifiants. Mais certains détails inclus dans la fuite étaient "des données accessibles au public qui auraient pu être construites sans brèche."
"Jusqu'à présent, c'est assez peu concluant ; certaines données correspondent à des informations de production, bien qu'elles soient accessibles au public. Certaines données sont de la camelote, mais il pourrait s'agir de données de non-production ou de test", a-t-il posté sur Twitter. "C'est un peu un sac mélangé jusqu'à présent".
La vulnérabilité identifiée par Microsoft est un problème plus étroit qui aurait pu affecter les téléphones mobiles fonctionnant sous Android. Elle peut avoir permis aux attaquants d'accéder et de modifier "les profils TikTok et les informations sensibles, notamment en rendant publiques des vidéos privées, en envoyant des messages et en téléchargeant des vidéos au nom des utilisateurs", a écrit Dimitrios Valsamaras de l'équipe de recherche Microsoft 365 Defender.
Un porte-parole de TikTok a déclaré que la société avait répondu rapidement aux conclusions de Microsoft et corrigé la faille de sécurité, qui a été trouvée "dans certaines anciennes versions de l'application Android".
Aussi peu concluants ou mineurs que soient ces problèmes, TikTok et sa société mère feront l'objet d'une attention particulière à un moment où les États-Unis pourraient renforcer leurs mesures contre les entreprises ayant des liens avec la Chine. En juin, neuf sénateurs américains ont adressé une lettre publique au directeur général de TikTok, lui demandant de s'expliquer sur les violations présumées de la sécurité.
Le président Joe Biden devrait signer un décret visant à restreindre les investissements américains dans les entreprises technologiques chinoises. Une action distincte visant TikTok est possible, l'administration s'intéressant de près à l'accès éventuel du gouvernement chinois aux données des clients américains. La société a déclaré aux législateurs américains qu'elle avait pris des mesures pour protéger ces données grâce à un contrat avec Oracle Corp.
"La façon dont TikTok opère fait l'objet d'une grande attention et il y a un écart important entre la façon dont elle opère et la façon dont elle dit opérer", a déclaré Robert Potter, co-PDG de la société australo-américaine de cybersécurité Internet 2.0 Inc.
En juillet, l'équipe de Robert Potter a déclaré dans un rapport qu'elle avait découvert une "collecte excessive de données" effectuée par TikTok sur les appareils des utilisateurs, que l'application vérifiait la localisation de l'appareil au moins une fois par heure et qu'elle disposait d'un code permettant de collecter les numéros de série de l'appareil et de la carte SIM.
Le rapport a reçu une large attention en Australie, et Clare O'Neil, le nouveau ministre de l'Intérieur, a annoncé lundi qu'elle avait ordonné à son département d'enquêter sur les données acquises par TikTok et sur les personnes qui peuvent y accéder.
"Nous avons ce problème fondamental ici où nous avons des entreprises technologiques qui sont basées dans des pays ayant une approche plus autoritaire du secteur privé", a déclaré O'Neil dans des remarques envoyées par courriel. "TikTok n'est ni le début ni la fin de tout cela. C'est l'un des très nombreux problèmes suscités par ces entreprises technologiques très dominantes et le rôle qu'elles jouent dans nos vies."