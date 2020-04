L’application TikTok pour iOS et Android télécharge certains contenus via une connexion HTTP non sécurisée, laissant les vidéos et autres données vulnérables à la falsification par les pirates.

L’application TikTok télécharge toujours du contenu, y compris des vidéos, via une connexion HTTP non sécurisée. Crédit d’image: Kon Karampelas

Les développeurs Talal Haj Baktry et Tommy Mysk ont ​​pris l’habitude de rechercher les vulnérabilités dans les applications populaires. En mars, le duo a découvert un bogue qui permettait à des applications comme TikTok d’afficher le contenu du presse-papiers d’un utilisateur iOS.

Maintenant, Baktry et Mysk sont de retour avec de nouvelles recherches sur l’application TikTok, une plateforme de streaming vidéo populaire avec plus de 800 millions d’utilisateurs mensuels. Selon l’analyse du trafic réseau réalisée par le duo, les dernières versions de l’application TikTok reposent toujours sur HTTP non chiffré pour se connecter au réseau de distribution de contenu (CDN) de l’entreprise.

Étant donné que la connexion n’est pas chiffrée, cela signifie que l’historique de lecture vidéo d’un utilisateur est vulnérable à l’interception, mais l’utilisation de HTTP au lieu du HTTPS plus sécurisé ouvre la porte à des tactiques plus insidieuses, y compris les attaques de l’homme du milieu (MITM).

Un mauvais acteur sur un réseau local pourrait, par exemple, échanger n’importe quelle vidéo contre une fausse.

Comme preuve de concept, le duo a créé un faux serveur qui imite les serveurs CDN de TikTok. Ils ont ensuite utilisé les techniques MITM pour tromper l’application TikTok en leur faisant croire que leur serveur frauduleux était légitime. À partir de là, il était assez trivial de livrer de faux clips.

Le duo a remplacé les clips officiels de la Croix-Rouge et de l’Organisation mondiale de la santé par des clips remplis de désinformation sur les coronavirus à titre d’exemple.

“Nous avons intercepté avec succès le trafic TikTok et trompé l’application pour montrer nos propres vidéos comme si elles avaient été publiées par des comptes populaires et vérifiés”, a écrit le duo. “Cela constitue un outil parfait pour ceux qui tentent sans relâche de polluer Internet avec des faits trompeurs.”

Cette attaque spécifique nécessite l’accès aux configurations d’un routeur, ce qui signifie qu’elle est très probablement exploitée par les opérateurs Wi-Fi. Mais l’utilisation de HTTP signifie toujours que TikTok peut être exploité par des points d’accès malveillants, des services VPN, des fournisseurs de services Internet et des agences de renseignement.

Il semble que TikTok ne transporte que certaines données via HTTP, y compris des vidéos, des photos de profil et des images d’aperçu des clips. Mais les vidéos sont, bien sûr, la caractéristique principale et la plus importante de la plate-forme de médias sociaux.

La plupart des services et sites Web en ligne utilisent HTTPS, ce qui supprime bon nombre des vulnérabilités de son homologue non sécurisé. Apple et Google nécessitent tous deux des applications pour utiliser les connexions HTTPS, mais offrent toujours une option de désactivation pour la compatibilité descendante.