C’est une typologie d’attaque considérée comme particulièrement redoutable dans le domaine de la sécurité informatique. On l’a vue à l’œuvre dans l’affaire Pegasus, du nom de ce logiciel espion qui a été découvert sur les smartphones sous iOS et Android. Cette fois, c’est le réseau social TikTok qui a été ciblé.
La plateforme a admis le 4 juin 2024 auprès de Forbes avoir été victime d’un incident. Il n’est pas rare que les sites communautaires subissent des attaques, avec pour objectif de dérober des informations ou pour détourner des comptes, notamment de personnalités ou de marques. D’ailleurs, la BBC a signalé que Paris Hilton a été touchée, comme Sony et CNN.
Une attaque sur TikTok ne nécessitant aucune action de la cible
C’est l’apparente sophistication de l’attaque qui détonne. De ce que l’on sait, le logiciel malveillant se propage par les messages privés et ne requiert pas d’action particulière de la cible. Il suffit « juste » d’ouvrir le message. Il n’y a pas besoin d’inciter la victime à répondre, à télécharger un fichier, ou bien à cliquer au bon endroit, au bon moment.
Ce procédé porte un nom : on appelle ça une attaque « zero click ». C’est le genre d’approche offensive difficile à parer et efficace. D’ailleurs, certaines des cibles ont été compromises. C’est le cas de la chaîne américaine CNN. D’autres ont visiblement eu plus de chance, comme Paris Hilton. Le souci a été admis par TikTok, qui depuis a agi.
« Notre équipe de sécurité est au courant d’un exploit potentiel visant des comptes de marques et de célébrités, a indiqué un porte-parole. Nous avons pris des mesures pour mettre fin à cette attaque et éviter qu’elle ne se reproduise à l’avenir. Nous travaillons directement avec les propriétaires des comptes concernés pour rétablir l’accès, si nécessaire. »
D’après la plateforme, le nombre de comptes effectivement touchés serait « très petit », sans toutefois dire combien précisément. TikTok jouit d’une très grande popularité dans le monde : en septembre 2021, l’application revendiquait plus d’un milliard de membres. Dès lors, même avec 0,001 % de victimes, par exemple, cela concernerait 10 000 individus.
La complexité de l’attaque interroge sur le profil de l’attaquant, inconnu à ce stade. L’évènement survient toutefois dans un contexte particulier : le spectre d’un bannissement de TikTok existe aux États-Unis, sauf si la société chinoise ByteDance, qui possède l’app, approuve la vente de sa branche américaine à un repreneur américain.
Selon la NSA, qui est l’agence de sécurité américaine spécialisée dans les problématiques cyber, le redémarrage du smartphone une fois par semaine est décrit comme une approche pouvant avoir de l’efficacité contre deux types d’attaque : le spear phishing (hameçonnage ciblé) et les attaques de type zero click.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !