TikTok : faille énorme permettant aux pirates de publier des vidéos sur votre compte
Deux chercheurs en sécurité ont démontré comment une faille de TikTok permet à des pirates de diffuser des vidéos depuis le compte de n’importe quel utilisateur de l’application. Le portée de cette attaque peut être importante lorsqu’elle est exploitée sur des comptes populaires. Les chercheurs ont réussi à diffuser de fausses vidéos sur le coronavirus depuis le compte TikTok de l’OMS et de la Croix-Rouge britannique.
Imaginez un scénario où vous êtes en train de parcourir vos vidéos publiées sur TikTok et puis tout à coup, vous remarquez qu’un contenu que vous n’avez pas mis en ligne est diffusé depuis votre compte. Ceci est bien possible, comme le prouvent deux chercheurs : Tommy Mysk et Talal Haj Bakry. Ils viennent de publier un rapport montrant qu’il est possible à un hacker de remplacer des vidéos sur n’importe quel compte TikTok.
Comme tous les réseaux sociaux et applications de messagerie, TikTok s’appuie sur des réseaux de distribution de contenu (CDN) pour diffuser géographiquement les contenus publiés sur sa plateforme. Contrairement à la plupart de ses concurrents, TikTok a choisi de diffuser les vidéos via le protocole HTTP non sécurisé.
Ce faisant, l’application qui compte plus d’un milliard d’utilisateurs dans le monde améliore les performances de transfert de données depuis ses serveurs. C’est le principal avantage de ce protocole, mais ce choix a été fait au détriment de la sécurité des utilisateurs. En effet, le trafic HTTP peut être facilement intercepté, voire dérouté par des acteurs malveillants.
TikTok : des pirates peuvent diffuser massivement de fausses vidéos sur le réseau social
En exploitant les faiblesses du protocole HTTP, un attaquant peut échanger des vidéos publiées par des utilisateurs de TikTok avec des vidéos différentes, y compris celles provenant de comptes populaires. Toutes les vidéos postées sur TikTok sont distribuées aux utilisateurs via différents CDN qui acheminent les vidéos vers les utilisateurs qui les consultent. Comme l’expliquent les chercheurs, l’utilisation du protocole HTTP non chiffré en lieu et place du HTTPS rend possible des attaques de type man-in-the-middle.
En d’autres termes, un pirate peut s’interposer entre le CDN et les utilisateurs finaux avec la possibilité de lire les paquets transférés, voire de les altérer en les remplaçant par des flux provenant d’autres serveurs. « Ainsi, l’attaquant peut diffuser des Fake News dans une vidéo de spam en lieu et place des contenus réellement publiés par une célébrité ou à un compte de confiance ».
Pour y parvenir, le pirate doit dans un premier temps réussir à corrompre le DNS des utilisateurs ciblés en les renvoyant vers un faux serveur qui imite l’adresse des CDN de TikTok. Cette tâche n’est évidemment pas si simple puisque le hacker devra accéder au routeur de milliers d’utilisateurs pour changer les paramètres DNS . Cependant, il est tout à fait possible que des DNS populaires comme ceux des FAI soient directement piratés pour router le trafic des internautes vers des serveurs malicieux. Dans ce cas, de fausses vidéos sur TikTok pourraient potentiellement être diffusées auprès de millions d’utilisateurs.
Les chercheurs ont publié une preuve de concept qui a consisté à diffuser de fausses vidéos sur le coronavirus depuis des comptes de confiance comme ceux de l’OMS ou encore de la Croix-Rouge britannique et américaine. Ils se sont néanmoins arrangés pour que seuls les utilisateurs connectés à leur propre réseau puissent voir les vidéos (modification des paramètres DNS du réseau local).
Enfin, cette faille reste toujours exploitable à l’heure où ces lignes sont écrites. Les chercheurs recommandent au réseau social de passer au protocole HTTPS sécurisé qui est fortement défendu par des firmes comme Google. La réaction de TikTok est toujours attendue.
Source : Mysk Blog