Les chaînes YouTube intéressent beaucoup certains hackers. C’est ce que révèle le Groupe d’Analyse des Menaces de Google (TAG), dans un billet publié sur son blog le 20 octobre. L’entité qui s’emploie à surveiller les campagnes de désinformation, de hacking ainsi que les tentatives d’escroqueries indique que les YouTubeurs sont ciblés depuis deux ans par un groupe de hackers recrutés sur un forum russophone.
Lorsque ces hackers parviennent à s’emparer d’une chaîne, précise le Groupe d’Analyse des Menaces de Google, « soit ils revendent leur accès au plus offrant, soit ils l’utilisent pour diffuser des scams dans le domaine des cryptomonnaies. » Un problème que les sociétés du secteur crypto commencent en effet à connaître. Fin 2020 sur Twitter, la plateforme d’échange de cryptomonnaies Gemini alertait ainsi sur le fait que deux chaînes YouTube avaient été « détournées par un hacker et déguisées de manière à ressembler à de fausses chaînes YouTube Gemini », avec le nom de la société et son logo.
Des arnaques au bitcoin diffusées sur les chaînes piratées
Google confirme que ce type d’actions est récurrent. « Un grand nombre des chaînes piratées [par ce groupe de hackers] sont maquillées en vue de live-streamer des scams crypto ». Généralement le nom de la chaîne, la photo de profil, et son contenu sont remplacés par des éléments copiant ceux des comptes de grandes plateforme d’échanges de cryptomonnaies. Les attaquants vont ensuite diffuser des vidéos qui font miroiter la possibilité de multiplier ses gains en cryptomonnaies, après une contribution initiale. « J’ai des amis qui ont commencé à commenter sur mon mur Facebook : ‘Manu c’est bizarre là ton délire avec des bitcoins’, racontait ainsi à Cyberguerre le YouTubeur Manutallurgy qui avait été confronté au problème il y a quelques mois. Dès que mes potes m’ont averti, je m’en suis occupé. J’ai vu qu’il y avait 7 ou 8 vidéos sur le bitcoin. »
Pour s’emparer d’une chaîne YouTube, les hackers responsables de la campagne détectée par Google proposent aux vidéastes des collaborations commerciales bidon. « Beaucoup de créateurs YouTube laissent une adresse mail sur leur chaîne pour les partenariats commerciaux. Les attaquants écrivent donc à cette adresse en se faisant passer pour une société existante et en affirmant vouloir tisser un partenariat publicitaire vidéo », détaille le Groupe d’Analyse des Menaces de Google.
Les hackers se font généralement passer pour des sociétés éditant des logiciels (VPN, antivirus, outil d’édition photo, etc.). Si leur cible accepte le partenariat commercial, ils lui envoient un lien de téléchargement de leur supposé software à promouvoir. Mais lorsqu’elles cliquent sur le lien, c’est un malware spécialisé qui s’exécute. Ce logiciel malveillant récupère les cookies du navigateur de la machine de la victime et souvent également ses mots de passe.
Une campagne d’attaque sophistiquée
Cyberguerre avait pu s’entretenir cet été avec plusieurs YouTubeurs français ayant été confrontés à ce type d’attaque et nous avions été surpris, à l’époque, du degré de sophistication de cette campagne. Les propositions de partenariats étaient très bien ciblées et les échanges aussi personnalisés que crédibles, avec les codes du milieu des partenariats et des phrases dans un anglais parfait. « Ils avaient même prévu une liste de mots interdits à ne pas utiliser dans la vidéo », soulignait le créateur de la chaîne Super Walker qui avait lui aussi fait les frais de cette attaque. Certains des malwares utilisés pour dérober les comptes des YouTubeurs, étaient du reste assez sophistiqués. L’un de ceux que Cyberguerre avait pu analyser à l’époque permettait par exemple de se connecter à un compte sans avoir à fournir un mot de passe ou le code de la double authentification.
À noter que si la majorité des chaînes détournées par le groupe de hackers pointé par Google ont été utilisées pour diffuser des scams crypto, Google précise qu’une portion des accès obtenus a été revendue sur des marchés spécialisés dans ce genre de trafic. Ces chaînes piratées se revendent entre 3 et 4000 $ en fonction de leur nombre d’abonnés.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !