Ces failles ont été découvertes par la firme de sécurité Check Point, qui en a récemment informé TikTok. Entre-temps, les brèches ont été colmatées. L'utilisateur de la version la plus récente de l'appli ne court donc plus aucun risque.

L'une des failles pouvait être abusée par un hacker qui expédiait un SLS contenant un lien spécial. Lorsque l'utilisateur de TikTok ouvrait ce lien, il risquait de mettre en danger son compte. Il en résultait que des vidéos pouvaient être supprimées ou ajoutées et que des vidéos cachées devenaient subitement publiques.

Une autre brèche se dissimulait dans ads.tiktok.com, la plate-forme publicitaire de l'appli. Elle semblait vulnérable aux attaques XSS (cross-site-scripting). Cela revient à dire qu'un pirate pouvait saisir un code (en pratique un script) dans une case de texte sur le site. Or ce dernier s'attend à y trouver du texte qu'il peut reprendre dans son système, sauf que dans la pratique, c'est le script qui est ainsi exécuté. Les adresses mail et dates de naissance d'utilisateurs pouvaient ainsi être dérobées.

On ne sait pas si ces points faibles ont déjà été effectivement abusés par des hackers. L'entreprise chinoise TikTok, associée précédemment à Musical.ly, compte plus d'un milliard d'utilisateurs et est surtout populaire chez les jeunes.

"Les applications de médias sociaux représentent une cible importante, étant donné qu'elles sont une puissante source de données personnelles et offrent un bon port d'accès aux pirates", déclare Oded Vanunu, en charge de la Product Vulnerability Research chez Check Point. "Les hackers consacrent beaucoup d'argent et d'efforts pour s'introduire par intrusion dans ce genre d'énormes applications. Il n'empêche que la plupart des utilisateurs estiment qu'ils sont bien protégés."

TikTok même annonce via Check Point qu'elle fait le maximum pour sécuriser les données des utilisateurs, mais elle encourage aussi les chercheurs dans le domaine de la sécurité à signaler toute faille non encore découverte, afin qu'elle puisse être colmatée à temps. Au moment où les deux entreprises ont révélé publiquement le problème, il était du reste déjà résolu.

Ces failles ont été découvertes par la firme de sécurité Check Point, qui en a récemment informé TikTok. Entre-temps, les brèches ont été colmatées. L'utilisateur de la version la plus récente de l'appli ne court donc plus aucun risque.L'une des failles pouvait être abusée par un hacker qui expédiait un SLS contenant un lien spécial. Lorsque l'utilisateur de TikTok ouvrait ce lien, il risquait de mettre en danger son compte. Il en résultait que des vidéos pouvaient être supprimées ou ajoutées et que des vidéos cachées devenaient subitement publiques.Une autre brèche se dissimulait dans ads.tiktok.com, la plate-forme publicitaire de l'appli. Elle semblait vulnérable aux attaques XSS (cross-site-scripting). Cela revient à dire qu'un pirate pouvait saisir un code (en pratique un script) dans une case de texte sur le site. Or ce dernier s'attend à y trouver du texte qu'il peut reprendre dans son système, sauf que dans la pratique, c'est le script qui est ainsi exécuté. Les adresses mail et dates de naissance d'utilisateurs pouvaient ainsi être dérobées.On ne sait pas si ces points faibles ont déjà été effectivement abusés par des hackers. L'entreprise chinoise TikTok, associée précédemment à Musical.ly, compte plus d'un milliard d'utilisateurs et est surtout populaire chez les jeunes."Les applications de médias sociaux représentent une cible importante, étant donné qu'elles sont une puissante source de données personnelles et offrent un bon port d'accès aux pirates", déclare Oded Vanunu, en charge de la Product Vulnerability Research chez Check Point. "Les hackers consacrent beaucoup d'argent et d'efforts pour s'introduire par intrusion dans ce genre d'énormes applications. Il n'empêche que la plupart des utilisateurs estiment qu'ils sont bien protégés."TikTok même annonce via Check Point qu'elle fait le maximum pour sécuriser les données des utilisateurs, mais elle encourage aussi les chercheurs dans le domaine de la sécurité à signaler toute faille non encore découverte, afin qu'elle puisse être colmatée à temps. Au moment où les deux entreprises ont révélé publiquement le problème, il était du reste déjà résolu.