La possibilité de publier des vidéos au nom d’autres personnes a été découverte sur le réseau social TikTok, ont déclaré deux experts en sécurité informatique, Talal Haj Bakry et Tommy Mysk, sur leur blog.
Selon les experts, les pirates peuvent profiter du fait que le réseau social utilise le protocole HTTP non crypté au lieu de HTTPS plus sécurisé.
Des fausses vidéos sur le coronavirus au nom de l’OMS et de la Croix-Rouge
Ils l’ont démontré en imitant une attaque contre TikTok pour remplacer le contenu des profils vérifiés de l’Organisation mondiale de la santé (OMS), de la Croix-Rouge britannique et de la Croix-Rouge américaine par de fausses vidéos sur le coronavirus. Ces vidéos montraient des inscriptions douteuses comme «Fumer tue le coronavirus» ou «se laver les mains trop souvent provoque le cancer de la peau», etc.
«Les vidéos falsifiées que nous avons créées présentent des informations trompeuses sur le Covid-19. Cela montre une source potentielle de diffusion de fausses informations sur un sujet d’actualité», notent les deux experts.
Les profils de plusieurs blogueuses populaires, qui ont des dizaines de millions de J’aime, ont aussi été piratés à titre de démonstration.
MM.Bakry et Mysk n’ont pas remplacé les vidéos sur le serveur de TikTok, leurs fausses vidéos se trouvaient sur leur réseau local. Ainsi, le réseau social n’a pas considéré ces intrus comme des pirates en montrant leurs fausses vidéos comme celles publiées par l’OMS.
Une faille qui peut servir à mener des attaques d’envergure
Les spécialistes affirment que cette faille de sécurité peut être utilisée à une plus grande échelle. Des pirates informatiques pourraient notamment attaquer des réseaux publics de Wi-Fi ou VPN et remplacer les vidéos de tous les utilisateurs connectés.
«TikTok, un géant des réseaux sociaux avec environ 800 millions d'utilisateurs actifs par mois, doit respecter les normes de l'industrie en termes de confidentialité et de protection des données», ont conclu les experts.
En janvier, les médias avaient annoncé la découverte de plusieurs autres points faibles de TikTok permettant notamment d’obtenir les données personnelles des utilisateurs au moyen de textos.
