Les comptes YouTube volés sont exploités pour lancer des arnaques ou rançonner leur propriétaires. Mais les hackers doivent agir vite : ils entrent en concurrence avec la procédure de récupération de compte de Google.

Les identifiants de comptes YouTube sont une denrée de plus en plus prisée sur les marchés noirs, a constaté l’entreprise de cybersécurité Intsight. Vendus par lots sur les forums de cybercriminels, leurs prix varient en fonction du nombre d’abonnés.

Les acheteurs peuvent se servir des comptes piratés pour récupérer des revenus publicitaires, diffuser des arnaques ou tout simplement exiger une rançon au propriétaire de la chaîne. YouTube met à disposition une procédure pour récupérer l’accès au compte, mais son délai de réaction varie grandement selon les situations (statut de la victime, précisions des détails sur le piratage…). Si les pirates ont le temps d’exploiter la notoriété de la chaîne pendant quelques jours, leur mise de départ sur les identifiants sera rapidement remboursée et ils génèreront du profit.

bramcohen.jpg

Le labo d’Heliox, compte à plus de 220 000 abonnés, s’est fait pirater début mai. // Source : Le labo d’Heliox / YouTube

Contre-la-montre avec le service de récupération du compte

Pour appuyer son constat, Intsight publie plusieurs captures d’écran d’enchères, trouvées sur les marchés noirs. Les enchères pour un compte avec 200 000 abonnés démarrent à 1 000 dollars et il faut ajouter 200 dollars au minimum à chaque enchère. Sur un autre forum, un compte avec 990 000 abonnés commençait son enchère à 1 500 dollars avec un prix d’achat immédiat de 2 500 dollars. Les chercheurs en cybersécurité expliquent ces écarts de prix par la différence dans le calcul coût-risque de chaque hacker.

Les enchères ne durent que rarement au-delà de 24 heures, car les cybercriminels ont peur que leurs données perdent toute valeur avec l’éventuelle récupération du compte. Les moins confiants fixent donc des prix d’achat immédiats suffisamment bas pour convertir leur piratage en gain à coût sûr. L’acheteur des identifiants devra lui aussi agir vite pour déployer son schéma malveillant sur la chaîne piratée.

Les hackers utilisent de faux partenariats bien ficelés

Pour mettre la main sur les identifiants, les cybercriminels passent le plus souvent par des campagnes de phishing, avec différents objectifs : certains vont se contenter d’essayer de récupérer les identifiants avec de faux formulaires, d’autres vont tenter de faire télécharger un malware. Cette seconde supercherie permettra de lancer des attaques plus élaborées pour récupérer les comptes, puisque le pirate pourra œuvrer depuis l’ordinateur de la victime.

Début mai, la Youtubeuse Heliox, propriétaire d’une chaîne d’expérience et de tutoriels qui comptait plus de 220 000 abonnés, s’est fait pirater. Sa chaîne, renommée Tesla BTC, diffusait en direct une vidéo incitant les spectateurs à miser des bitcoins dans un schéma financier frauduleux.

Comme le détaille Davy Mourier dans une de ces vidéos, le piratage a été sans trop de conséquences. Heliox a récupéré son compte le lendemain, et le pirate n’avait pas supprimé ses vidéos — ils les avaient simplement passées en privé. Mais le vidéaste souligne que cette récupération accélérée a été permise par l’intervention de Cyprien, une des plus grandes figures du YouTube français, qui a fait jouer son carnet d’adresses.

« Il connaissait la manière de fonctionner des YouTubers »

Pour piéger sa victime, le hacker s’était fait passer pour le représentant d’un jeu vidéo qui existe : Eastwards, édité par Pixpil Games. « Les emails étaient tellement ressemblants des emails qu’on reçoit habituellement de la part des agences publicitaires », explique Mourier, à qui Heliox avait fait passer l’offre de partenariat reçu sur sa chaîne. Après avoir que la prétendue représentante marketing a accepté les conditions du partenariat, elle a envoyé un lien de téléchargement pour le jeu, en .exe. Mourier ne parvenant pas à l’ouvrir, il a alors demandé à Heliox de tester.

Au lieu de contenir le jeu, le fichier contenait un cheval de Troie, qui a permis de pirater le compte d’Heliox, pourtant protégé par la double authentification, d’après la principale concernée. « Il connaissait exactement la manière de fonctionner des YouTubeurs », s’étonnait encore Davy Mourier. « Notre chaîne YouTube c’est un peu comme notre boutique. Et là, en une nuit, il a pris les clés et on pensait qu’il avait tout détruit. »

Ce postulat permet de comprendre l’intérêt des demandes de rançon : puisque YouTube est l’unique source de revenus de certains vidéastes piratés, ils seront particulièrement susceptibles de payer la demande de rançon.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !