Disponible dans plus de 150 pays, utilisé dans 75 langues avec plus d’un milliard d’utilisateurs, TikTok a définitivement fait évoluer le terme « popularité » dans le monde entier.
TikTok est une plateforme chinoise de médias sociaux qui se concentre sur des vidéos courtes de 60 secondes et est devenue particulièrement populaire auprès de la « génération Z ».
Ce qui est surprenant avec TikTok, c’est sa popularité en si peu de temps. Au moment où nous écrivons ces lignes, il y aurait environ 800 millions d’utilisateurs dans le monde.
Depuis 2020, TikTok est l’une des applications les plus téléchargées au monde
Qu’est-ce que l’application TikTok ?
L’application TikTok est principalement utilisée par les adolescents et les enfants qui s’en servent pour créer de courts clips musicaux:
- Principalement des clips de synchronisation labiale de 3 à 15 secondes
- Et de courtes vidéos en boucle de 3 à 60 secondes
L’application permet aux jeunes de partager, sauvegarder et conserver des vidéos privées (et parfois très sensibles) d’eux-mêmes et de leurs proches.
Les risques encourus
Au cours des derniers mois, des risques potentiels liés à l’application TikTok sont apparus. Cela a été reconnu par plusieurs autres acteurs du secteur. La marine américaine a même interdit l’utilisation de l’application pour son personnel, tandis que dans un article du Guardian, le démocrate Chuck Schumer déclare que « l’application TikTok présente un risque potentiel pour la sécurité nationale » (source).
Récemment, l’armée américaine a interdit l’utilisation de TikTok sur les téléphones du gouvernement, inversant sa politique sur l’application de divertissement qu’elle a récemment utilisée comme outil de recrutement.
Le débat contre TikTok en août 2020
Si TikTok a fait l’objet à l’été 2020 d’un examen approfondi pour des raisons de protection de la vie privée, cela est dû à l’origine chinoise de l’application et aux tensions croissantes entre la Chine et les pays occidentaux.
Les plus grandes critiques de TikTok qualifient l’application de menace malveillante envers ses utilisateurs, alors que des avis contradictoires suggèrent que ces inquiétudes sont exagérées et ne sont qu’un autre signe du racisme croissant envers le peuple chinois.
Outre les sentiments politiques à l’égard de l’entreprise, de nombreux experts ont des préoccupations très spécifiques concernant certaines fonctions de l’application.
TikTok : force d’espionnage ou application vulnérable ?
Apple surprend TikTok en train d’espionner le presse-papiers des appareils iOS
TikTok a accédé à des données provenant du presse-papiers de millions d’utilisateurs.
TikTok s’est empressé de donner une réponse, accusant une bibliothèque Google périmée au sein de l’application, puis a changé sa réponse pour accuser une fonction de l’application conçue pour attraper les « comportements répétitifs et spammeurs ».
On ne sait pas exactement quelle est la vérité ni comment l’application utilise les données qu’elle collecte, mais TikTok a maintenant dit aux journalistes qu’une nouvelle version de l’application a été soumise aux magasins de l’application pour supprimer cette fonction.
Cette menace a été initialement découverte lors du test bêta de la nouvelle mise à jour iOS 14 qui notifie les utilisateurs lorsqu’une application accède au presse-papiers (données stockées pour le copier-coller).
Outre TikTok, 53 autres applications ont également été signalées pour l’accès aux données du presse-papiers, notamment les applications de nombreux réseaux populaires.
Les employeurs commencent à exiger de leurs employés qu’ils suppriment TikTok
Suite à de nombreuses plaintes récentes contre TikTok, de nombreux employeurs exigent de leurs employés qu’ils suppriment l’application de leur téléphone et de tous leurs appareils.
De nombreux employeurs mettent en garde leurs employés contre l’utilisation de l’application sur le terrain de l’entreprise pendant les heures de travail.
Sur TikTok, il existe une multitude de vidéos montrant des membres du personnel de divers supermarchés, restaurants et même des travailleurs publics tels que le personnel hospitalier et les agents de police faisant des danses et des sketches comiques, etc.
La plupart des contenus de TikTok sont inoffensifs, mais le problème vient des conséquences involontaires, par exemple montrer les « coulisses » des opérations d’une entreprise privée. Il est facile de comprendre pourquoi cela pourrait constituer un problème de sécurité pour de nombreuses entreprises.
Le gouvernement américain envisage d’interdire l’application
Le gouvernement américain envisage d’interdire complètement l’application. C’est ce qu’a annoncé officiellement Donald Trump le 31 juillet 2020.
Les tensions sont croissantes entre la Chine et les États-Unis. Cela fait suite à l’annonce du gouvernement indien d’interdire TikTok et d’autres applications chinoises comme WeChat et à une annonce similaire de la Chambre des représentants américaine qui a voté l’interdiction de TikTok sur tous les téléphones du gouvernement.
TikTok a riposté contre les États-Unis en déclarant qu’il est dirigé par un PDG américain (Kevin Mayer, ancien responsable du streaming chez Disney) et qu’il a l’intention d’embaucher 10 000 personnes aux États-Unis au cours des trois prochaines années.
Pour l’instant, on ne connaît pas la décision que prendra le gouvernement de Donald Trump.
Les vulnérabilités de TikTok
Au cours des derniers mois, les équipes de Un Téléphone ont découvert de multiples TikTok Hack Tool exploitant les vulnérabilités de l’application TikTok. Ces exploits permettent aux attaquants de:
- s’emparer des comptes TikTok
- manipuler leur contenu
- supprimer des vidéos
- télécharger des vidéos non autorisées
- rendre publiques les vidéos privées « cachées ».
- révéler les informations personnelles enregistrées sur le compte (par exemple que les adresses électroniques privées)
Comment pirater facilement un compte TikTok
Si vous vous demandez quel est le meilleur TikTok Hack Tool, lisez cet article.
Pour un particulier ne possédant aucune compétence en hacking, vous pouvez bénéficier des méthodes suiantes.
Hacker TikTok avec des applications d’espionnage
Avec cette méthode, vous n’avez pas besoin de pirater l’ID ni le mot de passe de la cible. Vous pourrez vérifier tous les détails comme ce que publie la cible ou à qui elle parle sur TikTok.
mSpy : l’application victorieuse de TikTok
Avec mSpy vous avez toujours les yeux sur le compte de la cible sans rien pirater :
- suivi des appels
- communications écrites
- localisation
- tchats sur les réseaux sociaux
C’est un TikTok Hack Tool premium, mais il n’est pas très coûteux. Comment cela fonctionne ?
- Tout d’abord, procurez-vous une application d’espionnage TikTok Hack Tool.
- Nous vous recommandons vivement d’utiliser l’application mSpy, car pour certaines de nos tâches nous utilisons également la même application et elle fonctionne à merveille.
- Une fois que vous avez acheté le plan souhaité, vous obtiendrez les détails de connexion pour accéder au portail web de mSpy.
- Connectez-vous au portail Web et téléchargez l’application mSpy à partir de là.
- Installez l’application sur l’appareil cible, vous pouvez le faire à distance ou en accédant physiquement à l’appareil.
- Une fois que vous avez terminé l’installation de l’application, elle commence à enregistrer les données de l’utilisateur et les télécharge sur ses serveurs web.
- Vous pouvez voir tous les détails en vous connectant au portail web de l’application mSpy.
- Vous pouvez lire d’autres caractéristiques et spécifications dans notre test détaillé de mSpy.
D’autres TikTok hack tool pour pirater sans coder
Voici quelques moyens de pirater TikTok qui ne nécessitent pas de notion en programmation. Bien entendu, ces méthodes sont premium.
Pirater Tik Tok avec un keylogger
Il vous suffit d’installer une application sur le périphérique cible et votre travail est terminé. Le keylogger vous donne tout ce qui est tapé sur le clavier du téléphone, notamment tous les mots de passe !
Facile, ensuite, d’accéder à un compte de réseau social comme TikTok. Le meilleur keylogger pour Android (et le plus simple) est sans aucun doute HoverWatch.
Utiliser la fonction keylogger de mSpy
Nous avons déjà évoqué mSpy qui peut s’installer à distance sur un iPhone sans contact physique. La fonction keylogger de mSpy est basique, mais elle peut suffire à s’introduire dans un téléphone portable.
Pourquoi les parents veulent espionner TikTok ?
Le réseau social TikTok est connu pour être sexiste. Les garçons et les filles l’utilisent souvent pour faire des choses sensuelles sur cette application.
Ils créent de courtes vidéos basées sur des contenus sexuellement explicites. Les filles affirment souvent qu’elles reçoivent des propositions indécentes sur le tchat, comme la sollicitation d’images hot.
Les préadolescents disent souvent que les utilisateurs de TikTok demandent de poster des nus.
On y voit ches choses comme des filles dansant dans des positions sexy, avec des spectateurs qui en demandent toujours plus dans les commentaires. Ensuite, les poseurs sont la cible de cyberintimidateurs et de harceleurs qui les humilient.
Tous ces facteurs rendent TikTok assez risquée pour les préadolescents et les adolescents. Un enregistrement d’écran de TikTok en direct vous montre clairement ce à quoi les utilisateurs sont exposés.
Exemple de ce qu’on trouve sur TikTok en 2020
Les violations de la vie privée de TikTok
TikTok : propriété de la compagnie chinoise ByteDance
Vous pouvez utiliser TikTokpour enregistrer des vidéos qui ne durent pas plus de 15 secondes, et vous pouvez configurer la vidéo pour qu’elle soit jouée en boucle pendant une minute.
Le contenu de TikTok
Vous trouverez de nombreux éléments sur l’application :
- Des vidéos d’animaux domestiques faisant des tours
- Des utilisateurs montrant leur savoir-faire culinaire
- Des gens qui dansent, chantent ou se synchronisent sur les lèvres
Music.ly a été lancée au niveau international en septembre 2017, et a changé de nom pour devenir TikTok en août 2018.
Croissance de TikTok
Au début, il n’était utilisé que par un petit nombre de personnes, principalement des enfants et des jeunes adolescents. Mais aujourd’hui, TikTok semble être inarrêtable et connaît une croissance exponentielle, avec 800 000 000 d’utilisateurs en 2020.
Atteintes à la vie privée sur TikTok
TikTok a été critiqué dès le premier jour. Début 2020, la politique de l’entreprise a été jugée discriminatoire et problématique.
Des vidéos incluant des personnes handicapées, obèses ou de la communauté LGBTQ+ ont été censurées sans raison apparente.
De plus, TikTok n’est pas intervenue lorsque des adultes ont publié des commentaires explicitement sexuels sous des contenus pour enfants. TikTok a entendu ces plaintes et l’entreprise a promis de faire mieux.
Le recueil de données sur TikTok
Les données recueillies sur des enfants mineurs
L’année dernière, ByteDance a été condamnée à une amende d’1.000.000 de dollars parce qu’elle recueillait des données sur les utilisateurs mineurs sans leur consentement.
L’entreprise stockait des informations telles que le nom et l’adresse électronique. La loi stipule que les enfants de moins de 13 ans doivent avoir le consentement de leurs parents pour pouvoir partager des données personnelles.
Lorsque des milliers de parents ont commencé à se plaindre du fait qu’ils n’avaient pas donné leur consentement pour la collecte de données, mais que celles-ci étaient quand même collectées, des poursuites ont été engagées.
Finalement, ByteDance a payé un règlement de 5.700.000 millions de dollars. La société a également dû supprimer toutes les vidéos créées par des enfants de moins de treize ans.
TikTok respecte-t-il les règles ?
Mai 2020 : un groupe d’organisations de défense de la vie privée a déposé une plainte auprès de la Commission fédérale du commerce (FTC) et lui a demandé d’enquêter à nouveau sur la situation. Selon eux, l’entreprise n’a pas supprimé les vidéos qu’elle était censée supprimer.
Ils ne sont pas non plus convaincus que les données collectées ont bien été supprimées, à l’image des TikTok Hack Tool.
TikTok interdit
Des experts affirment que l’application ne se contente pas de collecter des données, mais qu’elle les partage également avec le gouvernement chinois. Lorsqu’on a demandé à M. Pompeo, secretaire d’Etat américain, si les gens devaient télécharger l’application, Pompeo a répondu ceci:
« Seulement si vous voulez que vos informations privées soient entre les mains du parti communiste chinois. »
59 applications chinoises ont été supprimées en Inde pour des raisons politiques similaires. Le gouvernement indien a écrit dans un communiqué de presse que les applications interdites mettaient en danger la souveraineté et l’intégrité du pays.
L’interdiction en Inde fait suite à un conflit frontalier avec la Chine. L’Inde est le plus grand marché de TikTok, avec plus de 660 millions de téléchargements depuis 2017. L’entreprise a donc beaucoup à y perdre.
Chingari App et Mitron, clones de Tiktok, piratées facilement
L’application indienne de partage de vidéos, appelée Chingari, est disponible pour les smartphones Android et iOS dans les boutiques d’applications officielles.
Elle est conçue pour permettre aux utilisateurs d’enregistrer des vidéos courtes, de se tenir au courant de l’actualité et de se connecter avec d’autres utilisateurs via une fonction de message direct.
Lancée à l’origine en novembre 2018, Chingari a connu une énorme poussée de popularité au cours des derniers jours, suite à l’interdiction par l’Inde des applications chinoises à la fin du mois dernier, franchissant le cap des 10 millions de téléchargements sur la boutique Google Play Store en moins d’un mois.
Tout compte d’utilisateur de Chingari peut être détourné en quelques secondes
L’application Chingari pour iOS et Android demande aux utilisateurs d’enregistrer un compte en accordant un accès de profil aux comptes Google, ce qui est une partie standard de l’authentification basée sur OAuth.
Mais Chingari utilise un identifiant utilisateur généré de manière aléatoire pour récupérer les informations de profil sans avoir recours à un jeton secret pour l’authentification et l’autorisation de l’utilisateur.
Comme le montre la vidéo ci-dessous, non seulement cet ID utilisateur peut être facilement récupéré, mais il peut être utilisé par un attaquant pour remplacer l’ID d’une victime dans les requêtes HTTP pour accéder aux informations du compte.
L’attaque peut être effectuée sur n’importe quel profil pour modifier les paramètres de votre compte ou télécharger le contenu de votre choix.
Mitron souffrait exactement de la même faille, permettant à toute personne ayant accès à l’identifiant unique de se connecter au compte sans entrer de mot de passe.
Comment pirater TikTok gratuitement si vous avez des notions de codage
L’usurpation de liens TikTok par SMS
Il est possible d’envoyer un message SMS à n’importe quel numéro de téléphone au nom de TikTok.
Sur le site principal de TikTok : https://www.tiktok.com/fr/, il existe une fonctionnalité qui permet aux utilisateurs de s’envoyer un message SMS à eux-mêmes afin de télécharger l’application.
Les attaquants qui souhaitent envoyer un SMS à une victime peuvent capturer la requête HTTP à l’aide d’un outil proxy (comme la suite Burp). Le paramètre Mobile contient le numéro de téléphone auquel le SMS sera envoyé et le paramètre download_url est le lien qui apparaîtra dans le message SMS.
La modification du paramètre download_url entraîne l’envoi d’un SMS usurpé qui contient le lien que l’attaquant aura choisi de taper.
Le SMS usurpé peut contenir un lien malveillant.
Le détournement de liens profonds TikTok
Lors de la rétro-ingénierie de l’application TikTok sur un mobile Android, on constate qu’elle dispose d’une fonctionnalité de « liens profonds » permettant d’invoquer des intentions dans l’application via un lien de navigateur.
Les intentions normales sont les schémas « https://m.tiktok.com » et « musically:// ».
Les attaquants qui utilisent la vulnérabilité SMS Link Spoofing peuvent envoyer un lien personnalisé qui contient les schémas mentionnés ci-dessus. Comme le lien personnalisé contiendra le paramètre « url », l’application mobile ouvrira une fenêtre d’aperçu web sur votre navigateur et se rendra à la page web écrite dans le paramètre de l’application mobile.
Cela permet aux attaquants d’envoyer des demandes au nom de l’utilisateur.
La redirection ouverte de TikTok
Il est également possible d’envoyer un lien malveillant à une victime qui aura pour effet de rediriger celle-ci vers un site web malveillant.
La redirection ouvre la possibilité de réaliser des attaques de type Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) et Sensitive Data Exposure (exposition de données sensibles) sans le consentement de l’utilisateur.
La redirection se produit lorsqu’un attaquant envoie un lien de connexion légitime dérivé du domaine de Tiktok : https://login.tiktok.com.
La demande de connexion peut contenir un paramètre HTTP GET redirect_url, par exemple :
https://login.tiktok.com/?redirect_url=https://www.tiktok.com
Le problème, c’est que le processus de redirection est vulnérable car la regex de validation ne valide pas correctement la valeur du paramètre redirect_url.
Au contraire, la regex valide la valeur du paramètre se terminant par tiktok.com. permettant d’effectuer une redirection vers n’importe quel site avec tiktok.com.
Un attaquant peut rediriger les utilisateurs vers un site fictime « http://www.attaquant-tiktok.com » et effectuer des attaques.
Cross-Site Scripting (XSS)
Le sous-domaine de Tiktok https://ads.tiktok.com est vulnérable aux attaques XSS, un type d’attaque dans lequel des scripts malveillants sont injectés dans des sites web.
Il s’agit d’un sous-domaine dédié aux publicités. Les annonces contiennent un centre d’aide où vous pouvez trouver des informations sur la façon de créer et de publier des annonces dans Tiktok. Ce centre d’aide contient une vulnérabilité de recherche.
Lorsqu’un attaquant tente d’effectuer une recherche, une requête HTTP GET est exécutée vers le serveur d’application web avec un paramètre q et la chaîne recherchée comme valeur.
Un attaquant peut tenter d’injecter du code JavaScript dans le paramètre q (la valeur injectée est codée en URL).
Suppression de vidéo TikTok
La suppression forcée d’une vidéo TikTok peut être effectuée via une demande HTTP GET à l’adresse:
https://api-t.tiktok.com/aweme/v1/aweme/delete/?aweme_id=video_id
Création forcée de vidéo TikTok
Afin de créer une vidéo sur le flux de la victime, l’agresseur doit d’abord envoyer une demande de création de vidéo sur son propre flux. Les demandes de création de vidéo génèrent un nouvel identifiant de vidéo. L’attaquant copie la demande de création de vidéo et la supprime.
Ensuite, en utilisant l’exécution de JavaScript, l’attaquant poste la demande de création de vidéo qu’il a copiée et envoie la demande HTTP POST au nom de la victime.
Suivre un compte TikTok
Les agresseurs qui cherchent à suivre le compte d’une victime envoient une demande à celle-ci et la victime doit l’approuver.
Afin d’approuver automatiquement sa demande, l’attaquant utilise les mêmes méthodes d’exécution JavaScript pour envoyer une demande d’approbation au nom de la victime.
La demande d’approbation est envoyée et une demande HTTP POST est envoyée au chemin suivant :
https://api-m.tiktok.com/aweme/v1/commit/follow/request/approve
La requête POST a un paramètre, from_user_id, qui contient l’identifiant de l’utilisateur qui souhaite suivre le compte.
L’attaquant change la valeur du paramètre from_user_id pour son propre identifiant et envoie la requête au serveur de TikToks. L’attaquant devient le suiveur de la victime.
Transformer une vidéo TikTok privée en une vidéo publique
Pour faire passer une vidéo du mode privé au mode public, l’agresseur doit récupérer l’identifiant de la vidéo.
La récupération de l’identifiant vidéo est possible lorsque l’agresseur est un suiveur de la victime, comme expliqué ci-dessus.
Une fois que l’attaquant dispose de l’identifiant d’une vidéo privée, il peut modifier les paramètres de confidentialité de la vidéo en envoyant une requête HTTP GET au nom de l’utilisateur (en utilisant l’exécution JavaScript indiquée ci-dessus):
https://api-m.tiktok.com/aweme/v1/aweme/modify/visibility/?aweme_id=video_id&type=1&aid=1233&mcc_mnc=42503
- Avec « type=1« , la vidéo demandée passe en mode public
- Avec « type=2 » la vidéo devient privée
Exposition de données sensibles
Il est possible d’exécuter du code JavaScript en utilisant XSS pour récupérer des informations sensibles. En effet, il existe plusieurs appels API dans les sous-domaines:
https://api-t.tiktok.com et https://api-m.tiktok.com
Les demandes adressées aux API susmentionnées révèlent des informations sensibles sur l’utilisateur, notamment:
- son adresse électronique
- ses informations de paiement
- sa date de naissance
- et bien d’autres
A noter : il faut contourner les mécanismes de sécurité du CORS et du SOP afin de récupérer toutes les informations sensibles. Tiktok a mis en place un système de rappel JSONP non conventionnel qui fournit une méthode pour demander des données aux serveurs API sans les restrictions CORS et SOP.
Le contournement de ces mécanismes de sécurité permet de voler toutes les informations sensibles des victimes en déclenchant une requête AJAX au callback JSONP.
Conclusion
Les vidéos TikTok sont divertissantes.
Elles ont créé une grande tendance, un style, voire un genre musical. Beaucoup d’entre nous utilisons l’application TikTok pour partager des moments agréables et découper des morceaux de souvenirs amusants sous la forme de courts clips vidéo.
Mais la frontière est souvent mince entre les clips amusants et les biens privés, même intimes, qui peuvent être compromis à notre insu.
Les risques que nous font courir les applications de messagerie et les réseaux sociaux renforcent notre besoin de protection de la vie privée et de sécurité des données.
Les violations de données deviennent une épidémie. C’est un problème mortel auquel de nombreuses organisations sont confrontées dans le monde entier, simplement parce que les données sont omniprésentes et nous entourent.
Nos données sont stockées sur un certain nombre de réseaux inconnus, en proie aux TikTok Hack Tool. Il est de notre responsabilité commune de protéger nos données contre ces compromissions.
