Une star de YouTube, Michou, qui a assisté impuissant à la suppression de sa chaîne. Et une chaîne de débat politique très en vue, Thinkerview, qui devient inaccessible. En quelques jours à peine, l’actualité a offert deux cas de prise de contrôle d’une chaîne YouTube, malgré l’existence de garde-fous pour éviter les accès frauduleux.
Les circonstances précises dans lesquelles ces opérations de piratage ont été menées demeurent relativement floues, mais une hypothèse probable est que l’attaque a profité d’un niveau de sécurisation insuffisant et de l’étourderie d’une personne ayant les droits d’administration de la chaîne. Celle-ci peut très bien se faire avoir par un hameçonnage (phishing), par exemple.
Ces deux affaires s’avèrent en tout cas être une bonne occasion pour tirer quelques enseignements sur la nécessité de bien sécuriser sa chaîne YouTube. Certes, cela ne ramène pas tous les risques à zéro, mais il y a un socle minimal à respecter pour réduire fortement l’exposition au risque. Ces règles s’appliquent généralement à n’importe quel service en ligne.
Comment bien sécuriser sa chaîne YouTube
La chaîne YouTube peut être associée à son compte Google, mais aussi liée à un compte de marque comme Numerama. Dans tous les cas de figure, plus vous suivrez ces consignes, moins vous risquerez de vous faire avoir. Cela nécessite d’être rigoureux et précautionneux, mais le jeu peut en valoir la chandelle, surtout lorsque l’on gère une chaîne YouTube populaire.
- Utilisez un mot de passe unique et fort, sans référence particulière à des mots courants ou à vous-même. C’est la base de la base : il doit être long et complexe et n’être utilisé que pour la chaîne YouTube ;
- Servez-vous d’un gestionnaire de mots de passe pour le stocker. Ne le notez pas sur un bout de papier. S’il est un peu trop facile à retenir de tête, c’est peut-être qu’il n’est pas assez complexe ;
- Activez l’authentification à deux facteurs. Si votre mot de passe est compromis, le compte restera protégé par une deuxième barrière. YouTube exige cette protection pour les créateurs monétisant leurs contenus depuis 2021 ;
- Pour la double authentification, privilégiez autant que possible soit l’application sur le smartphone qui génère un code unique et temporaire, soit une clé USB de sécurité (U2F). La méthode par SMS est moins intéressante, car à cause du SIM Swapping :
- Utilisez une adresse e-mail de récupération sûre, qui ne sert qu’à ça. Gardez la secrète. Protégez cette adresse e-mail par un mot de passe aussi solide que celui de la chaîne et la double authentification ;
- Vérifiez le check-up de sécurité de Google et assurez-vous que tout est normal (en vert). Contrôlez surtout les accès tiers, c’est-à-dire les applications qui ont l’accès aux données et peuvent potentiellement effectuer des actions ;
- Si Google vous le propose, activez la protection du compte contre les attaques ciblées. Ce service est proposé à certains profils jugés plus exposés que d’autres, comme les journalistes ou les personnalités publiques ;
- Ne communiquez évidemment jamais votre mot de passe, ni à vos proches, ni à Google, ni à quiconque. Ne le renseignez dans aucun formulaire, même si celui-ci a l’air légitime (c’est un piège) ;
- Gardez à jour votre système d’exploitation, vos applications (mobiles ou non) et votre navigateur web. Les dernières versions comportent la plupart du temps des correctifs pour colmater des brèches de sécurité ;
- Faites attention aux mails ou aux SMS qui vous demandent de vous rendre à telle ou telle adresse et vous invitent à rentrer des informations personnelles, sensibles ou financières. C’est certainement du phishing ;
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Ces conseils sont orientés pour le grand public. Il va sans dire que ces pistes ne sont peut-être pas en mesure de contrer toutes les menaces du net, surtout si un pirate chevronné a décidé de s’en prendre spécifiquement à vous. Mais si toutes ces consignes étaient appliquées, il y a bien des problèmes dont on ne parlerait plus.
D’autres consignes peuvent être formulées : évitez par exemple de télécharger tout et n’importe quoi sur le web, car des fichiers peuvent être vérolés. Abstenez-vous de fréquenter des sites louches. Utilisez les services (Chrome et Firefox ont intégré ces fonctionnalités) qui alertent les internautes en cas de piratage d’un site que vous fréquentez.
Toutes ces recommandations sont valables si vous gérez en solo votre chaîne YouTube, mais aussi si vous êtes plusieurs à avoir des droits d’accès dessus. Or, dans ce cas spécifique, il y a des règles additionnelles qui s’appliquent : l’idée, en résumé, est de compartimenter les accès : si jamais un compte est piraté, il faut pouvoir contenir les dégâts éventuels.
Comment gérer les accès à une chaîne YouTube sans compromettre sa sécurité, lorsqu’il y a plusieurs administrateurs
Dans le cas d’une chaîne dont la gestion est partagée entre plusieurs individus, l’idée n’est évidemment pas de recourir à un mot de passe unique pour la chaîne, que l’on se communique au cas par cas. YouTube fournit justement des options pour configurer des droits d’accès, avec différents seuils, selon le rôle que l’on veut confier aux uns et aux autres.
En résumé, chaque personne autorisée est ajoutée manuellement comme « éditeur » par un compte supérieur, celui de l’administrateur. Chaque « éditeur » n’a pas les droits totaux, pour éviter un incident critique, grâce à une logique de séparation. En la matière, YouTube et Facebook sont plutôt avancés dans ce domaine. Twitch a du retard et Twitter c’est encore pire.
YouTube fournit ainsi une page de marque qui est associée à une administration avec plusieurs niveaux de droits et de permissions (propriétaire principal, propriétaire, administrateur, responsable de communication). Ces réglages se trouvent dans la page vidéo, à la rubrique des paramètres (« Settings »), puis « Permissions ».
Les comptes ayant les droits les plus élevés peuvent gérer les autorisations, en ajoutant ou retirant des utilisateurs, ou en modifiant leur rôle. Personne ne connaît le mot de passe de la chaîne car… elle a pas de mot de passe, ce qui la rend moins exposée à du piratage. Elle est administrée par des comptes individuels qui ont leur propre parcours de connexion.
Chaque parcours d’authentification doit évidemment être aussi solide que possible (mot de passe fort et unique, double authentification, etc.) et c’est aussi de la responsabilité des uns et des autres d’imposer éventuellement un niveau correct de sécurité. Et même si un compte est corrompu, le propriétaire principal peut agir en le supprimant et en reprenant le contrôle de la chaîne.
En somme, YouTube offre de bons outils pour compartimenter les accès, limiter les droits d’accès et intervenir s’il y a un pépin. C’est une administration classique avec des droits. Évidemment, si le propriétaire principal est compromis, c’est plus embêtant, mais il reste la possibilité de demander de l’aide à YouTube. Google fournit d’ailleurs des options d’assistance.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !