"Si les données sont publiées, c'est la fuite de l'année !" Certains utilisateurs d'un forum de hackers très populaire pensaient assister à un événement historique. Dans un message daté du 3 septembre, le groupe AgainstTheWest (ATW) prétendait avoir obtenu un accès aux données de deux applications chinoises, WeChat et TikTok (plus d'1 milliard d'utilisateurs chacune), en forçant l'entrée d'un serveur d'Alibaba Cloud. Les hackers affirmaient que la machine à laquelle ils avaient eu accès contenait au moins 2 milliards de lignes de données (du code de l'application, des données utilisateurs, des statistiques...) pour un poids total colossal de 790 gigaoctets.
Afin de prouver la véracité de leurs propos, ils offraient au téléchargement deux échantillons de données, comme il est d'usage dans le milieu. Mais malgré ces documents, les spécialistes des fuites de données ne réussissaient pas à confirmer ni à pleinement contredire les revendications d'AgainstTheWest. De son côté, TikTok a immédiatement défendu qu'il avait enquêté sur les affirmations et n'avait pas trouvé de preuves concernant une brèche de sécurité. Finalement, dans la soirée du lundi 5 septembre, le compte d'ATW a fini par être banni du forum où tout à commencé (pour une durée de deux semaines), avec la mention "ment sur les fuites de données", et la publication a été supprimée. Mais certaines zones de flou persistent sur l'affaire.
Qui est à l'origine des revendications ?
AgainstTheWest ("contre l'ouest", en français) n'en est pas à ses premiers pas, mais il n'avait jamais autant attiré l'attention. D'après les notes de l'entreprise française de cybersécurité Sekoia, ce groupe d'individus est apparu à l'automne 2021, et malgré ce que laisse suggérer son nom, il prétend protéger les pays de l'ouest, et notamment les intérêts de l'Otan, par des manœuvres cyber à la fois offensives et défensives. Cet engagement se traduit dans le choix de ses cibles : des organisations chinoises et russes, et bientôt nord-coréennes et iraniennes. TikTok a beau être une entreprise de droit américain (clone de l'application chinoise Douyin, qui serait également touchée par la fuite), elle appartient au géant chinois Bytedance, et elle entrait donc dans le périmètre de chasse des hackers.
Dans le jargon, les membres AgainstTheWest se qualifient d'hacktivistes (hackers activistes), un terme popularisé par le mouvement Anonymous au milieu des années 2000. "Leurs motifs et leurs ambitions ne sont pas clairs, mais c'est une caractéristique propre à ce type de groupe", commente auprès de La Tribune François Deruty, chef des opérations (COO) de Sekoia. ATW compterait six membres fondateurs, mais d'autres individus pourraient potentiellement se revendiquer de leur mouvement. "Ils se revendiquent hackers éthiques, avec certaines limites auto-définies pour leur activité", précise François Deruty.
Malgré cette image travaillée, AgainstTheWest avait déjà la réputation auprès de certains spécialistes de systématiquement survendre leur butin, sans jamais fournir les données qualitatives promises. Pour attirer l'attention, le groupe relayait depuis quatre mois ses "coups" sur un compte Twitter (suspendu dans la journée de lundi), avec l'objectif clair de faire le plus de bruit possible. Pour la prétendue fuite de TikTok, le groupe a cette fois demandé à plusieurs comptes labellisés "Anonymous" (comme @YourAnonCentral) suivis par des millions de personnes, de relayer ses propos, sans véritable succès. Il a également présenté sur le réseau social ainsi que sur le forum d'origine une adresse email à destination des journalistes. De façon évidente, ATW cherchait à se faire connaître. Parler d'une fuite qui toucherait potentiellement des millions d'utilisateurs apparaissait comme une aubaine.
Il y a-t-il vraiment une fuite de données ?
Les publications de AgainstTheWest ont enfin été remarquées par les chercheurs le lundi 5 septembre, et plusieurs pointures du secteur ont commencé à analyser les échantillons. Ils ont rapidement noté l'existence de tables [dossiers, ndlr] vides dans la base de données, ce qui laissait planer la suspicion d'un fichier manipulé pour faire croire à une fuite inexistante. Problème : le volume de données s'avère tel qu'il faut du temps pour analyser finement son contenu.
Troy Hunt, le fondateur du site de référence sur les fuites de données HaveIBeenPwned, trouvait quelques correspondances entre les données de la base et des données publiques de TikTok : "toutes ces données sont publiquement accessibles, donc la base aurait pu être construite sans faille, mais regardons plus en profondeur". Après quelques heures, il n'avait trouvé que ces données certes légitimes mais publiques et des données "poubelles" qui ne correspondaient pas à celles en production.
De son côté, le chercheur réputé Bob Diachenko de Security Discovery a confirmé "une fuite partielle de données d'utilisateurs" sans se montrer plus spécifique sur la nature de ces données. L'expert s'est également posé la question sur l'origine des données. Dans leurs messages sur Twitter (sur un compte suspendu dans l'après-midi de lundi), les hackers d'AgainstTheWest expliquaient qu'ils avaient réussi à obtenir l'accès à un compte Alibaba Cloud qui était protégé par un mot de passe trop simple. Ils ont attribué ce compte à TikTok, mais il faut savoir que lorsque des hackers s'introduisent sur un serveur, ils ne savent en général pas exactement où ils sont. Ils doivent en conséquence analyser son contenu pour déterminer le propriétaire de la machine. Bob Diachenko a trouvé plusieurs mentions à différentes apps créées par Hangzhou Julun Network Technology, une entreprise chinoise. Autrement dit, la fuite pourrait provenir non pas de TikTok et WeChat, mais d'un parti tiers qui aurait collecté des données sur les deux entreprises, ce qui expliquerait leur présence simultanée. Reste à savoir comment ce dernier aurait obtenu un tel volume d'information.
Contacté, le groupe n'a pas fait suite aux questions de La Tribune. En revanche, nos confrères de Numerama ont reçu une étrange réponse : "quelqu'un se fait passer pour nous. Nous avons tout arrêté en mars 2022. Les données que ces personnes sont fausses. S'il vous plaît n'y croyez pas." Un message d'autant plus étonnant qu'il provenait d'une adresse email indiquée par les deux comptes (sur le forum et sur Twitter) appartenant à AgainstTheWest, qui avaient un historique avant les récents événements. Deux hypothèses peuvent être formulées : soit l'identité du groupe a réellement été usurpée et ses comptes piratés, soit il a rétropédalé sur ses revendications après les deux bannissements et potentiellement d'autres conséquences, TikTok étant une entreprise à enjeu national à la fois pour les Etats-Unis et pour la Chine.
Les utilisateurs de TikTok doivent-ils s'inquiéter ?
Jusqu'ici, personne n'a trouvé de données inaccessibles publiquement dans les échantillons apportés par les hackers, ce qui a alimenté la théorie que la base pourrait être le résultat d'un scraping, le nom technique donné à un siphonnage de données publiques. A Forbes, TikTok défend que c'est impossible, car "ils disposent de garde-fous adéquats pour empêcher les scripts automatisés de collecter les informations des utilisateurs".
Mais si la fuite contient seulement des données publiques, et aucune donnée sensible comme des mots de passe, des adresses email ou des numéros de téléphone, ses effets seront moindres. François Deruty nuance tout de même ce constat : "les gros volumes de données attirent toujours, même s'il s'agit simplement d'une compilation de données accessibles publiquement et non de données privées. Avoir toutes les informations au même endroit facilite le travail des cybercriminels, notamment pour le phishing. Le public touché est une masse importante, donc les informations sont utiles."
Que la fuite soit vraie ou fausse, dangereuse ou non, seuls des échantillons ont été publiés. Les hackers précisaient qu'il était "peu probable qu'ils vendent ou publient", les données car elles appartenaient à des personnes "de partout dans le monde", et qu'elles "contenaient beaucoup de données de personnes mineures". Avec leur bannissement, la probabilité d'une diffusion massive des données a encore diminué.
Si des experts conseillent aux utilisateurs de changer leurs mots de passe, il s'agit pour l'instant d'une simple mesure de précaution. Il n'existe actuellement aucune preuve tangible que l'intégrité des comptes serait compromise. « Notre équipe de sécurité n'a trouvé aucune preuve d'une brèche de sécurité. Nous confirmons que les échantillons de données en question sont tous accessibles et ne sont pas dus à une compromission des systèmes, réseaux ou bases de données TikTok. Les échantillons semblent également contenir des données provenant d'une ou plusieurs sources externes non affiliées à TikTok. Nous estimons qu'aucune mesure proactive n'est nécessaire de la part de nos utilisateurs, et nous continuons à nous engager pour la sécurité et la sureté de notre communauté partout dans le monde », a précisé à La Tribune une porte-parole du réseau social suite à la publication de l'article.
Quels enjeux pour la suite de l'affaire ?
Cette histoire de fuite devrait laisser des traces. Pour commencer, la véritable ampleur de l'incident de sécurité reste inconnue, et la suite des analyses d'experts devrait donner de nouvelles précisions sur sa vraie nature. Si les données s'avèrent légitimes, et même si elles ne proviennent pas d'une faille de sécurité, TikTok devra prendre des mesures adéquates.
Ensuite, cette affaire va ajouter quoiqu'il en soit une nouvelle ombre sur l'image du réseau social. Même si les revendications d'AgainstTheWeb s'avèrent finalement fausses, le dommage réputationnel est irréversible, et bons nombre d'utilisateurs continueront à croire que la fuite était réelle. Or, le réseau social cumule les petites affaires liées à sa sécurité, alors même qu'il est scruté de près par les autorités américaines depuis 2020. Il a récemment été épinglé pour sa collecte de données "excessive" par une entreprise de cybersécurité, et plusieurs médias, dont Bloomberg ont rappelé que Microsoft avait révélé la semaine dernière une vulnérabilité critique sur l'app Android de TikTok (corrigée dès son signalement), qui permettait à des hackers potentiels de mettre la main sur les comptes des victimes. Les députés américains continuent de soupçonner le réseau de menacer sa sécurité nationale, et même si l'entreprise a accepté de se faire auditer par Oracle, ces affaires à répétition ralentissent ses efforts...
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés