Un code malveillant se propage actuellement sur TikTok, et il compromet les comptes officiels de célébrités et de marques, dont ceux de CNN, Sony ou encore Paris Hilton. Le malware se transmet via des messages directs dans l’application du réseau social. Fait inquiétant, il ne nécessite ni téléchargement, ni clic, ni aucune autre action de la part des utilisateurs, à l’exception de l’ouverture du message.
Un malware qui se propage par message direct
Les comptes piratés ne semblent pas publier de contenu, et il est difficile d’estimer combien de comptes ont été affectés. Un porte-parole de TikTok a déclaré auprès de Forbes : « Notre équipe de sécurité est consciente d’une potentielle faille visant un certain nombre de comptes de marques et de célébrités ». Il poursuit : « Nous avons pris des mesures pour stopper cette attaque et prévenir sa récurrence. Nous travaillons directement avec les propriétaires des comptes affectés pour restaurer l’accès, si nécessaire. »
TikTok, qui compte plus d’un milliard d’utilisateurs dans le monde, n’en est pas à sa première attaque de grande ampleur. L’été dernier, l’entreprise a reconnu que jusqu’à 700.000 comptes en Turquie avaient été compromis en raison de l’utilisation de canaux SMS non sécurisés pour la double authentification. Cette faille avait été découverte peu avant les élections présidentielles turques.
En 2022, des chercheurs de Microsoft avaient mis en lumière une autre vulnérabilité dans l’application TikTok qui permettait aux pirates de prendre le contrôle des comptes d’un simple clic sur un lien malveillant. Dans ce cas précis, les utilisateurs devaient effectuer une action spécifique, contrairement au malware qui se propage actuellement.
La récente attaque a forcé CNN à désactiver temporairement son compte TikTok. Un porte-parole de la chaîne a déclaré que CNN « travaillait avec TikTok en coulisse pour mettre en place des mesures de sécurité supplémentaires ». Des employés du média américain ont aussi avoué au site Semafor que l’entreprise était devenue « laxiste » au niveau des pratiques de sécurité numériques : un employé notait par exemple que des dizaines de collègues avaient accès au compte officiel du groupe sur TikTok.
Ces incidents interviennent dans un contexte compliqué pour TikTok, dont les pratiques de sécurité et de confidentialité inquiètent le gouvernement américain. Des législateurs craignent que les autorités chinoises puissent contraindre la maison mère chinoise du réseau social, ByteDance, à utiliser l’application pour espionner des citoyens américains ou influencer sur les publications visionnées par les utilisateurs. Ces craintes ont abouti à une loi exigeant que ByteDance se sépare de l’application ou s’apprête à une interdiction aux États-Unis. TikTok et ByteDance contestent actuellement cette loi devant les tribunaux.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
