L’application TikTok a su faire parler d’elle en 2019, notamment avec une enquête à son encontre, plusieurs amendes et des accusations. Et elle semble continuer sur la même lancée pour cette nouvelle année : des chercheurs en sécurité ont découvert deux nouvelles failles sur l’application appartenant à ByteDance.

Un SMS pour accéder au contrôle d’un compte

Une faille découverte par des chercheurs en sécurité de l’entreprise Check Point Research aurait pu avoir de graves conséquences. Elle permettait en fait d’envoyer un message à des utilisateurs de TikTok en utilisant l’apparence de l’application. Ce message contenait des malwares dissimulés en lien… Si le propriétaire du compte TikTok ouvrait un lien, alors la personne malveillante pouvait accéder à compte et notamment aux vidéos enregistrées en privé, le pirate pouvait alors en ajouter, en publier, tout comme en supprimer.

Une seconde faille aurait permis d’accéder à des informations personnelles de l’utilisateur, comme son nom, sa date de naissance et encore son e-mail. Tout le nécessaire pour usurper l’identité d’une personne donc. Cette vulnérabilité a également été repérée par les chercheurs de Check Point Research et un responsable a notamment déclaré : “L’intégralité des vulnérabilité que nous avons trouvé étaient toutes au coeur des systèmes de TikTok” avant de préciser avoir informé TikTok de ces faits le 15 novembre dernier.

Une correction déployée par TikTok

Environ deux semaines après avoir été alerté par Check Point Research, TikTok a déployé une mise à jour visant à corriger ces failles de sécurité. Luke Deshotels, employé de l’équipe de sécurité informatique de l’application avait alors appelé les chercheurs en sécurité à collaborer avec eux : “TikTok s’est engagé à protéger les données des utilisateurs. Nous encourageons les chercheurs en sécurité à nous faire part en privé des failles zéro-day. Avant de dévoiler cette histoire au public, nous avions convenu avec CheckPoint de patcher l’intégralité des problèmes signalés sur la dernière version de notre application”.

Ces deux failles n’arrangent sans doute rien à la situation de l’application. La société a récemment été bannie par les armées américaines et sa société mère, ByteDance, songerait à s’en séparer.