TikTok : Une faille de sécurité permet de hacker des vidéos en ligne

CYBERSECURITE Pour montrer la vulnérabilité du réseau social, deux programmeurs ont remplacé du contenu publié par l’OMS en incorporant leurs propres images comprenant des fake news sur le coronavirus

20 Minutes avec agence

— 

Logo de TikTok
Logo de TikTok — Lionel BONAVENTURE / AFP

Deux développeurs iOS se faisant appeler Mysk ont récemment mis au jour une faille de sécurité sur TikTok. Les spécialistes ont réussi à pirater la très populaire application chinoise afin de la relier à un faux serveur mis en place par leurs soins, rapporte Android Authority. Ils ont alors pu remplacer les vidéos des utilisateurs par leurs propres images, comme ils le montrent dans un clip mis en ligne sur YouTube ce lundi.

Pour prouver la vulnérabilité du réseau social, ce collectif a utilisé le compte de l’Organisation mondiale de la santé (OMS) pour diffuser des vidéos contenant de fausses informations au sujet du Covid-19. Il a suffi aux programmeurs de lancer une attaque DNS sur des serveurs locaux pour pouvoir partager ces fake news semblant venir de l’OMS. De la même façon, ils ont réussi à pirater d’autres comptes vérifiés par la plateforme.

Hacker pour sensibiliser

Les hackers ont ainsi substitué leurs vidéos à celles diffusées par la Croix Rouge britannique et américaine et à celles qui sont relayées par le compte officiel de TikTok. L’objectif est de montrer que le piratage est possible et que la faille de sécurité présente un véritable risque si des pirates malintentionnés choisissent de l’exploiter.

Cette vulnérabilité est une conséquence de l’utilisation des protocoles http et non HTTPS pour extraire les vidéos du réseau de diffusion de contenu (CDN) de l’appli. Ce choix permet des transferts de données plus rapides mais il repose sur un système non-crypté. Mysk précise cependant que les fausses vidéos mises en ligne à la place du contenu initial n’ont été visibles que par les utilisateurs connectés directement au serveur des pirates. La faille de sécurité ne serait par ailleurs présente que sur les versions Android 15.7.4 et iOS 15.5.6 de l’appli TikTok.