Les comptes TikTok de nombreuses personnes célèbres à travers le monde ont été piratés

La nouvelle a été rapportée pour la première fois par le site d'information Semafor et le magazine Forbes, qui ont détaillé une campagne de prise de contrôle de compte sans clic qui a permis à des logiciels malveillants de se propager via des messages directs pour compromettre les comptes de marques et de célébrités sans qu'elles aient à cliquer ou à interagir avec aucun contenu.

Les pirates informatiques ont exploité une vulnérabilité de sécurité inconnue et non corrigée (également connue sous le nom de zero-day) dans le composant de messagerie qui permettait à un code malveillant de s'exécuter dès l'ouverture d'un message.

On ne sait pas encore combien d'utilisateurs ont été touchés, bien qu'un porte-parole de TikTok ait déclaré que la société avait pris des mesures pour contenir l'attaque et empêcher qu'elle ne se reproduise à l'avenir.

L'entreprise a ajouté qu'elle travaillait directement avec les propriétaires de comptes concernés pour rétablir l'accès et que l'attaque n'avait touché qu'un « très petit nombre » d'utilisateurs. Cependant, TikTok n'a fourni aucun détail précis sur la nature de l'attaque ni sur les techniques d'atténuation utilisées.

Ce n'est pas la première fois que des failles de sécurité sont découvertes dans ce service très répandu. En janvier 2021, le fournisseur israélien de solutions de sécurité Check Point avait également révélé une vulnérabilité dans TikTok qui aurait pu permettre à des attaquants de constituer une base de données des utilisateurs de l'application et de leurs numéros de téléphone associés pour de futures activités malveillantes.

Puis, en septembre 2022, Microsoft a découvert une vulnérabilité en un seul clic affectant l'application TikTok sur les appareils Android qui pourrait permettre à un attaquant de prendre le contrôle d'un compte lorsqu'une victime cliquait sur un lien fourni par le pirate.

Un autre problème révélé par la société américaine de cybersécurité Imperva il y a plus d'un an a montré qu'une vulnérabilité de sécurité dans l'application TikTok pourrait permettre aux attaquants de suivre l'activité des utilisateurs et d'accéder à des informations sensibles sur les appareils mobiles et les ordinateurs de bureau.

« En exploitant cette vulnérabilité, un attaquant pourrait envoyer des messages malveillants à l'application web TikTok via l'API PostMessage, contournant ainsi les mesures de sécurité. Le processeur de messages traiterait alors le message malveillant comme s'il provenait d'une source fiable, permettant ainsi à l'attaquant d'accéder aux informations sensibles de l'utilisateur », a déclaré l'entreprise de cybersécurité Imperva.

De plus, pas moins de 700 000 comptes TikTok en Turquie ont été découverts comme compromis l'année dernière, après des rapports selon lesquels le routage des messages SMS via des canaux non sécurisés permettait aux pirates d'intercepter les mots de passe à usage unique et d'accéder aux comptes TikTok des utilisateurs pour augmenter le nombre de likes et d'abonnés.

Les acteurs malveillants ont également exploité la tendance « Invisible Challenge » de TikTok pour diffuser des logiciels malveillants voleurs d’informations, démontrant ainsi les efforts continus des attaquants pour propager des logiciels malveillants par des méthodes peu orthodoxes.

Le piratage de comptes avec un grand nombre d’abonnés comme TikTok présente toujours un risque, car le potentiel de propagation de logiciels malveillants ou de désinformation est beaucoup plus rapide.

Ceci est un avertissement sérieux pour les utilisateurs de TikTok, en particulier les célébrités et les grandes marques. Pour protéger leurs comptes, ils doivent être prudents lorsqu'ils ouvrent des messages provenant d'inconnus et mettre à jour l'application TikTok avec la dernière version.

Les origines chinoises de TikTok ont ​​suscité des inquiétudes quant au fait que l'application pourrait être utilisée comme un outil pour collecter des informations sensibles sur les utilisateurs américains et promouvoir la propagande, ce qui a finalement conduit à l'adoption d'une loi interdisant l'application TikTok dans le pays à moins qu'elle ne soit cédée à sa société mère ByteDance.

En réponse à l'interdiction américaine, TikTok a déposé une plainte devant un tribunal américain pour contester cette décision, affirmant qu'il s'agissait d'une « interférence extraordinaire avec la liberté d'expression » et que les États-Unis n'avaient soulevé que des « préoccupations spéculatives » pour justifier l'interdiction.

L'application de vidéos courtes TikTok a été interdite par de nombreux pays, dont l'Inde, le Népal, le Sénégal, la Somalie et le Kirghizistan. De plus, certains pays comme les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande ont banni l'application des appareils gouvernementaux.