Des informations selon lesquelles TikTok U.S. a t pirat ont commenc circuler, d’abord sur un forum en ligne consacr aux violations de donnes, puis sur Twitter pendant le week-end. TikTok dment ces rcentes allgations. Un groupe de pirates a publi des images de ce qu’ils prtendent tre une base de donnes TikTok contenant le code source de la plateforme et des informations sur les utilisateurs et en rponse ces allgations, TikTok a dclar que son quipe n’a trouv aucune preuve de violation de la scurit . Les experts en scurit recommandent aux utilisateurs de TikTok de changer leurs mots de passe et de s’assurer que l’authentification deux facteurs est active de toute faon, par excs de prudence.
Les allgations de piratage de TikTok
Les premiers rapports sur un piratage prsum sont apparus sur le forum de discussion Breach Forums le 3 septembre. Un utilisateur portant le pseudonyme de AgainstTheWest a publi ce qui tait cens tre des captures d’cran d’une violation de TikTok et WeChat. Dans cette publication, l’utilisateur a dclar, en faisant rfrence aux donnes prtendument voles, qu’il n’avait pas encore dcid s’il voulait les vendre ou les rendre publiques . Un lien vers deux chantillons de donnes a t publi, ainsi qu’une vido d’un ensemble de tableaux de la base de donnes. L’auteur affirme en outre avoir extrait 2 milliards d’enregistrements de la base de donnes. Dans une publication du 3 septembre sur Twitter, l’utilisateur BlueHornet|AgainstTheWest affirme galement avoir vol le code source interne du back-end .
L’acteur de la menace affirme que ce serveur contient 2,05 milliards d’enregistrements dans une base de donnes massive de 790 Go contenant des donnes sur les utilisateurs, des statistiques sur la plateforme, du code logiciel, des cookies, des jetons d’authentification, des informations sur le serveur, et bien d’autres choses encore.
TikTok affirme qu’il n’y a aucune preuve de violation de la scurit.
Nous avons confirm que les chantillons de donnes en question sont tous accessibles au public et ne sont pas dus une compromission des systmes, rseaux ou bases de donnes de TikTok. Nous ne pensons pas que les utilisateurs doivent prendre des mesures proactives, et nous restons attachs la sret et la scurit de notre communaut mondiale , a dclar Maureen Shanahan, porte-parole de TikTok. Ce qui laisse la question de l’origine de ces donnes encore sans rponse.
Troy Hunt, directeur rgional chez Microsoft et crateur de l’outil haveibeenpwned, a publi un long message sur Twitter pour tenter de vrifier si l’chantillon de donnes est authentique ou non. Aprs de nombreuses analyses, il conclut que les preuves sont jusqu’ prsent assez peu concluantes . Hunt poursuit en disant qu’il y a certaines donnes qui correspondent aux informations de production, mais elles sont galement disponibles publiquement de toute faon. Il a galement trouv des donnes inutiles , mais concde qu’il pourrait s’agir de donnes de non-production ou de test.
Dans un fil de discussion du forum Hacker News, il a t suggr que les donnes semblent provenir non pas de TikTok lui-mme, mais plutt d’un tiers qui s’intgre TikTok des fins de marketing ou de commerce lectronique. Cependant, il est loin d’tre clair pour l’instant que des tiers aient accs ce type de donnes, et encore moins qu’il y ait eu une violation.
Le « chasseur de bases de donnes » Bob Diachenko a galement valid les donnes des utilisateurs ayant fait l’objet d’une fuite comme tant relles, mais n’a pas pu fournir de conclusions concrtes sur l’origine des donnes. Si une analyse plus approfondie rvle que les donnes sont lgitimes, TikTok sera oblig de prendre des mesures pour attnuer les effets de la fuite, mme s’il n’y a pas eu de violation.
Le groupe de pirates, qui se fait appeler « AgainstTheWest », affirme avoir galement obtenu des donnes de l’application de messagerie chinoise WeChat. Cependant, Hunt n’a pas t en mesure de confirmer si la base de donnes des pirates contenait des informations voles.
TikTok et WeChat ont fait l’objet d’un examen minutieux en raison de leurs liens avec la Chine (ByteDance, la socit mre de TikTok, est base en Chine). TikTok a pris plusieurs mesures, telles que l’hbergement de donnes amricaines sur les serveurs d’Oracle bass aux tats-Unis, pour tenter d’inverser les rcents rapports selon lesquels des employs de TikTok en Chine auraient accd aux informations des utilisateurs amricains.
Que doivent faire les utilisateurs de TikTok maintenant ?
Bien que, d’aprs les chantillons examins, rien ne prouve que les mots de passe des comptes TikTok aient t compromis, et que la dclaration de TikTok semble le confirmer, il n’y a aucun mal faire preuve d’une grande prudence. Il est donc conseill donc aux utilisateurs de TikTok de changer leurs mots de passe et de s’assurer qu’ils ont activ l’authentification deux facteurs comme couche de protection supplmentaire.
Jake Moore, conseiller en cyberscurit mondiale auprs de la socit de scurit ESET, partage cet avis : Bien que ces donnes puissent tre purement des donnes largement publiques qui ont t grattes ouvertement partir du site, cela souligne toujours le fait que la plus grande plateforme de mdias sociaux au monde attire les pirates criminels et qu’ils continueront tre implacables et chercher toute vulnrabilit si elle est l. Qu’il s’agisse de donnes vritablement prives rendant chaque compte potentiellement vulnrable ou simplement d’informations ouvertes provenant du site, les utilisateurs doivent s’assurer que les alertes de scurit sont actives dans l’application et que l’authentification deux facteurs est active, et s’assurer que leur mot de passe utilis sur le compte est unique par rapport tout autre compte .
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
TikTok est l’application la plus tlcharge au premier trimestre 2022 avec 3,5 milliards d’installations, surclassant Instagram qui tait l’application la plus tlcharge au premier trimestre 2021
TikTok partage vos donnes plus que toute autre application de mdias sociaux et on ne sait pas o elles vont, selon une recherche sur 200 applications iOS
Plusieurs associations de consommateurs dposent une plainte collective contre TikTok en Europe, l’accusant de surexploiter les donnes des utilisateurs et de ne pas suffisamment protger les mineurs