TikTok piraté ? ByteDance dément, la question reste ouverte

Depuis deux jours, des analystes en sécurité débattent au sujet d’une vaste banque d’informations de près de 800 Go qui regrouperait de très nombreuses données venant de TikTok en bonne partie. Bien que plusieurs signes laissaient penser initialement à une fuite, l’éditeur ByteDance dément et certains éléments restent troubles.

La chronologie, déjà, est particulière. Il y a quelques jours à peine, Microsoft prévenait d’une faille dans la version Android de TikTok. Selon l’entreprise, cette brèche – qualifiée de haute sévérité – « pourrait permettre à des acteurs malveillants de compromettre les comptes des utilisateurs d’un simple clic ».

Si l’on en croit certains chercheurs en sécurité, un groupe de pirates, nommé AgainstTheWest, a créé un sujet le 3 septembre dans un forum dédié, clamant qu’il aurait réussi à pirater TikTok et WeChat. Des captures ont été publiées, de ce qui serait des preuves d’une énorme base de données de 790 Go. Elle comprend 2,05 milliards d’informations : données utilisateurs, statistiques de plateforme, code, cookies, jetons d’authentification, informations sur les serveurs et autres.

ByteDance dément fermement

À plusieurs médias et sociétés de sécurité, dont BleepingComputer et Forbes, ByteDance dément : « C’est une déclaration fausse – notre équipe de sécurité a enquêté sur cette affirmation et déterminé que le code en question n’a absolument aucun lien avec le code source backend de TikTok, qui n’a jamais été fusionné avec les données de WeChat ».

En outre, l’entreprise affirme que ces données ne peuvent en aucun cas venir d’une simple récupération depuis sa plateforme, puisque des mesures « adéquates de sécurité » empêchent notamment les scripts automatisés de collecter des informations.

Une situation trouble

Parmi les chercheurs en sécurité, Troy Hunt – à qui l’on doit le service HaveIBeenPwned – est revenu sur la fuite dans un fil Twitter. Il a pu analyser de nombreux éléments et découvert que certains sont légitimes, d’autres pas.

Dans l’ensemble, il juge l’ensemble « non concluant » pour l’instant. En effet, même si des données semblent bien provenir de TikTok, il estime que ces informations sont publiques et n’ont donc rien d’extraordinaire. Il n’y a, notamment, aucun mot de passe. Il remet donc en question la « brèche ».

Bob Diachenko, un autre chercheur, ne sait pas non plus sur quel pied danser. Il a affirmé dans un premier temps que la brèche était avérée, avant de se rétracter, puis finalement annoncé qu'il ne pouvait pas la confirmer, la question restant ouverte là encore.

L’aspect le plus étrange est le mélange entre les données TikTok et WeChat. Puisqu’il s’agit de deux grosses entreprises (chinoises) différentes, il n’y a aucune raison que leurs données se retrouvent mélangées au sein d’une même instance dans le cloud. Une piste serait que la ou les personnes à l’origine de cette base aient trouvé un moyen d’automatiser la récupération d’informations publiques sur deux services, la base étant « simplement » le réceptacle du processus.

Autre piste, soulevée notamment dans le forum de Hacker News, les données pourraient venir d’un tiers dont le ou les services pourraient être connectés à TikTok, par exemple pour des besoins commerciaux ou marketing. C'est ce que tendrait à montrer une découverte de Diachenko : les données pourraient provenir de Hangzhou Julun Network Technology, auquel font référence des points d'entrées de données dans la base. Mais le chercheur se pose la question : pourquoi une quantité aussi énorme d'informations ?

Actuellement, les preuves manquent pour qualifier ces données de « faille ». Cette nuit d’ailleurs, le sujet créé par AgainstTheWest dans le forum spécialisé a été supprimé et le compte banni pour avoir « menti au sujet d’un piratage ». Et pour ajouter un peu plus de mystère, le journaliste Bogdan Bodnar indique dans un tweet avoir contacté le groupe AgainstTheWest. La réponse ? « Ce n'est pas nous. Quelqu'un se fait passer pour nous. Nous avons tout arrêté en mars 2022 », avant d'ajouter que ces données sont fausses. Pourtant, au moins une partie semble avérée.

Pour l’instant, le faisceau pointe donc vers une absence de brèche dans la sécurité de TikTok (WeChat ne s’est pas encore exprimé), mais on ne sait pas pour autant d’où viennent les données.