Name: Tremplin Numérique
Price range: $$$

Alors que le monde est occupé à profiter de l’engouement pour l’application TikTok, les utilisateurs de la célèbre plate-forme de partage de vidéos ignorent qu’ils ont failli être victimes d’une vulnérabilité qui aurait pu permettre à de mauvais acteurs de violer leurs comptes il y a des mois. Heureusement, il a été prévenu avant d’être remarqué par de mauvais acteurs après Microsoft l’a signalé à TikTok, qui l’a immédiatement résolu.

Microsoft a repéré la vulnérabilité étiquetée « CVE-2022-28799 » et l’a signalée à TikTok en février dernier via sa divulgation coordonnée de vulnérabilité (CVD) via Microsoft Security Vulnerability Research (MSVR). Selon le géant de la technologie, le problème avait un statut de gravité élevé avec un score de 8,3.

Bien qu’aucune preuve n’ait été trouvée que CVE-2022-28799 ait été exploité dans la nature, la vulnérabilité a mis en danger des milliards de comptes d’utilisateurs TikTok. Plus précisément, le problème concernait les utilisateurs Android de l’application, qui a différentes variantes avec des installations combinées de plus de 1,5 milliard de téléchargements sur le Google Play Store. En cas de succès, cela aurait pu permettre à des acteurs malveillants d’accéder à différents comptes, de publier des vidéos et de visionner des vidéos privées, de lire les messages de l’utilisateur, de récupérer les données du compte et même de modifier les paramètres.

Un exemple de compte TikTok compromis partagé par Microsoft.

L’attaque peut commencer lorsqu’un utilisateur clique sur un « lien malveillant spécialement conçu ». Selon Microsoft, cela est devenu possible lorsqu’il a été découvert que CVE-2022-28799 permettait de contourner la vérification des liens profonds de l’application TikTok. « Les attaquants pourraient forcer l’application à charger une URL arbitraire sur la WebView de l’application, permettant à l’URL d’accéder ensuite aux ponts JavaScript attachés à la WebView et d’accorder des fonctionnalités aux attaquants », a expliqué l’équipe de recherche Microsoft 365 Defender dans son article de blog.

Avec cela, Microsoft a encouragé les utilisateurs à éviter des scénarios similaires en observant certaines consignes de sécurité, comme ignorer les liens provenant de sources non fiables, mettre régulièrement à jour les appareils et les applications, éviter les installations d’applications à partir de sources non fiables et créer des rapports. De plus, la société a salué l’action rapide effectuée par TikTok tout en soulignant l’importance de la collaboration.

« Ce cas montre comment la capacité de coordonner la recherche et le partage de renseignements sur les menaces via une collaboration experte et intersectorielle est nécessaire pour atténuer efficacement les problèmes », a déclaré Microsoft. « Alors que les menaces sur les plates-formes continuent de croître en nombre et en sophistication, les divulgations de vulnérabilités, une réponse coordonnée et d’autres formes de partage de renseignements sur les menaces sont nécessaires pour aider à sécuriser l’expérience informatique des utilisateurs, quelle que soit la plate-forme ou l’appareil utilisé. Nous continuerons à travailler avec la communauté de la sécurité au sens large pour partager les recherches et les renseignements sur les menaces dans le but de créer une meilleure protection pour tous.

Malgré cela, les problèmes causés par les vulnérabilités ne sont pas les seuls problèmes de sécurité auxquels sont confrontés les utilisateurs de TikTok. ByteDance et TikTok voient leur réputation remise en question par de nombreuses personnes en raison de rapports selon lesquels le gouvernement chinois les utiliserait pour ses propres agendas. A part un rapport disant que les employés de TikTok ont accédé à plusieurs reprises aux données des utilisateurs américains depuis la Chine, une nouvelle préoccupation est apparue après qu’il a été constaté que certains Profils LinkedIn des employés de TikTok montrent qu’ils travaillent simultanément pour les médias d’État chinois.