Ils n'ont « que » quelques milliers d'abonnés et ils ne gagnent pas leur vie avec YouTube. Et pourtant, des hackers ont pris le temps de leur envoyer un phishing personnalisé et puissant malware. Voici leur histoire.

Ils ont 40, 7 000, 21 000 abonnés sur YouTube… Loin d’être aussi connus que les têtes d’affiche de la plateforme, ils ont eux aussi investi dans leur chaîne des milliers d’heures de travail, étalées sur plusieurs années. Par passion d’abord. Puis, pour certains, par ambition, au fur et à mesure que la qualité de leurs vidéos s’affine, et que les encouragements de spectateurs se multiplient. « Manutallurgy » enregistre des reprises de ses groupes de métal et de rock favoris, « The Overmoon Project » diffuse des « Let’s Play » ou des découvertes de jeux vidéo, « Super Walker »  filme des « Walking Tour », de longues visites de lieux, caméras à la main.

Dans la ‘vraie vie’, les propriétaires de ces chaînes s’appellent Manu, Audric, Michel. Tous ont contacté Cyberguerre courant mai 2021 pour parler d’un événement qui a bouleversé leur quotidien : la perte de leur chaîne YouTube. Certes, ils ne sont pas dans le cas extrême des youtubeurs professionnels, dont les revenus dépendent presque entièrement de la présence sur la plateforme. Mais leur chaîne n’en reste pas moins un élément central de leur vie. Quand ils nous contactent, les vidéastes insistent sur leur désarroi : ils sont « désespérés ».

The Overmoon Project, c’est plus de 6 000 abonnés, plus de 1 200 vidéo et plus d’un million de vues en 4 ans. // Source : The Overmoon Project – YouTube

Malgré le fait qu’ils soient de « petits » youtubeurs, leur mésaventure est étape par étape similaire à celle du youtubeur Marty (58 000 abonnés), que Cyberguerre avait pu analyser en détail en 2020. Elle-même faisait écho aux piratages subis par Heliox (300 000 abonnés) ou encore Kenny (1 million d’abonnés). La preuve que les hackers ne dissocient pas petits et grands quand ils volent les chaînes.

Suppression de chaîne foudroyante

Chaque récit de victime se rejoint dans les grande lignes. «  J’étais en train de streamer sur Twitch, quand un abonné m’a prévenu qu’on manipulait ma chaîne  », raconte Audric, qui a vécu le piratage en direct. « J’ai des amis qui ont commencé à commenter sur mon mur Facebook : « Manu c’est bizarre là ton délire avec des bitcoins » », se rappelle quant à lui le guitariste.

L’algorithme de détection de YouTube peut être foudroyant. C’est une manière de protéger les spectateurs contre les arnaques, mais aussi de frapper le cœur du business des malfaiteurs. «  Le logo de ma chaîne a été remplacé par un Shiba Inu, et une demi-heure plus tard, ma chaîne a sauté », continue Audric, qui tentait en vain de se reconnecter à son compte partagé avec son associé, dont il était sans cesse expulsé.

Manu a vécu le même scénario, mais au ralenti : « Dès que mes potes m’ont averti, je m’en suis occupé. J’ai vu qu’il y avait 7 ou 8 vidéos sur le bitcoin, et j’avais reçu un message de Google pour m’inviter à changer mon mot passe ». Le musicien s’est exécuté, et il a « viré » toute trace de l’intrus sur sa chaîne. Ce nettoyage effectué, il s’est éloigné de son ordinateur. Erreur : « Le soir quand je suis revenu, il y avait une vingtaine de vidéos de jeux vidéo. J’ai rechangé mon mot de passe ». Le lendemain, sa chaîne est supprimée.

Les comptes piratés YouTube piratés sont quasi exclusivement utilisés pour diffuser deux types d’arnaques :

  • Des arnaques au bitcoin ou à la cryptomonnaie du moment — souvent celle qui fait l’objet des derniers tweets d’Elon Musk. Dans le cas d’Audric par exemple, le malfaiteur mettait en avant le « Shiba Inu Coin », une monnaie créée après le succès inattendu du Dogecoin. Le scénario varie, mais le plus souvent, la vidéo promet de multiplier les gains si le spectateur envoie ses cryptomonnaies à une adresse particulière. Ne pensez pas que ce schéma ne fonctionne pas : le hacker de Twitter avait par exemple récupéré l’équivalent en Bitcoin de plusieurs centaines de milliers de dollars en à peine 2 heures.
  • Des arnaques aux jeux vidéo, qui s’appuient sur les licences les plus populaires du moment : Minecraft,  Fortnite, Counter Strike… Dans certains cas, les malfrats imitent un vidéaste connu et reprennent son contenu avec un autre habillage. L’objectif : diriger les spectateurs vers de faux jeux-concours, qui cachent des phishings aux données bancaires. Ou alors, leur faire télécharger un logiciel de triche ou de génération de monnaie virtuelle, qui cache en réalité un malware.

Ces arnaques traînent depuis quelques années déjà. Alors, YouTube s’est adapté, et a resserré sa détection. Le plus souvent l’algorithme tranche au vif. Mais quand une vidéo lui échappe, des modérateurs humains viennent juger eux-mêmes les vidéos signalées.

De faux partenariats à tous les étages

Ce qui est étonnant dans l’histoire, c’est que les moyens déployés par les hackers pour piéger ces youtubeurs non professionnels paraissent disproportionnés par rapport aux gains potentiels. Comme pour les gros comptes, les malfaiteurs envoient des propositions de partenariats ciblées. Puis ils engagent une discussion personnalisée, dans laquelle ils reprennent les codes du milieu des partenariats. L’échange peut s’étendre sur plusieurs longs messages, le tout, dans un anglais parfait.

« Je ne connaissais pas du tout l’origine du hack, et a posteriori, nous n’avons rien détecté. Ma tour est partie chez quelqu’un qui s’y connaît plutôt bien en sécurité, il n’avait rien trouvé non plus », nous explique Audric. Mais lorsqu’on l’interroge sur un éventuel partenariat douteux, le fan de jeux vidéo se rappelle. Quelques jours avant la perte de son compte, il a reçu un email en apparence envoyé par Amplitude Studios, un petit studio de développeurs de jeux vidéo français, racheté par Sega en 2016. Une prétendue chargée de communication lui a proposé de jouer en avant-première à la nouvelle licence du studio, Human Kind. Le vidéaste a pour habitude de recevoir les emails en anglais, même de la part de studios français, donc il ne s’en est pas étonné.

« On a jamais cherché à faire des partenariats »

En revanche, pour obtenir le précédent jeu d’Amplitude, Endless Space 2, il avait dû faire une demande de clé de jeu sur un site dédié. La proposition sortait donc de la norme, mais elle ne l’a pas inquiété. Pourtant, plus généralement, Audric se méfie des propositions : «  Beaucoup d’emails de partenariats que je reçois paraissent louches, donc on a jamais trop cherché à en faire. J’avais par exemple reçu un email pour Far Cry 6, que j’ai immédiatement signalé à Ubisoft. Ils m’avaient confirmé peu après que c’était un phishing ».

Les malfaiteurs connaissent leur cible : avec ses quelques milliers d’abonnés, Audric sait qu’il ne va pas attirer des partenariats grassement payés de la part de gros studios, comme celui de Far Cry. Mais il peut s’attendre à recevoir des propositions de clé de jeu gratuit de la part d’un plus petit studio, français qui plus est. Il suit d’ailleurs ce genre d’échange de bons procédés avec d’autres depuis plusieurs années.

« Je me sens bête d’être tombé dans le piège »

Michel, fort du cap des 20 000 abonnés fraîchement passé, découvrait de son côté le milieu de la publicité sur YouTube. « Je venais de faire un premier partenariat sur un vélo électrique, que j’allais publier pile au moment où je me suis fait pirater ma chaîne », nous précise-t-il. Tout s’était bien déroulé dans cette première expérience. « Peu après, j’ai reçu une autre offre de partenariat bien détaillée, et échangée avec des personnes en apparence très professionnelles. Elles avaient même prévu une liste de mots interdits à ne pas utiliser dans la vidéo ! » s’étonne-t-il encore.

La discussion entamée par email glisse sur WhatsApp. La fausse responsable de partenariat lui envoie un fichier des tarifs de rémunération, à télécharger depuis la plateforme d’hébergement de fichier Mega. « C’était un fichier en .scr, un format que je ne connais pas. Quand je l’ai lancé sur mon iPhone, il ne s’est rien passé. Alors je l’ai lancé sur mon PC, mais toujours rien ». Une semaine se passe sans que Michel soit dérangé. Puis tout s’effondre : sa chaîne est supprimée avant même qu’il ne prenne conscience de la mainmise des hackers.

C’est ce faux email de partenariat qui a causé la perte du compte de Michel. // Source : Numerama, remerciements Michel

Michel a partagé avec Cyberguerre ses échanges avec « Hélène Fischer », une fausse représentante de l’enseigne de prêt-à-porter ASOS. La demande est précise : 35 à 45 secondes de la vidéo seraient consacrées à la marque, avec des images de son catalogue. Le partenariat prévoit l’envoi de trois vêtements si Michel le souhaite, et un code promotion pour ses abonnés. Pour conclure, « Hélène » lui suggère de faire part de ses prix pour le partenariat. « Quand je regarde a posteriori tous les échanges, je vois tout ce qui ne va pas et je me sens bête d’être tombé dans le piège. J’ai l’impression de m’être enflammé », regrette Michel. Certes, l’adresse email de la supposée chargée de communication, « helene.fischer_asosmanager@aol.com » paraît louche. Mais globalement, le phishing est extrêmement bien fait et personnalisé. Surtout, pourquoi un youtubeur à 20 000 abonnés s’attendrait-il à une manipulation si complexe ?

Le but final de ces faux partenariats est de faire télécharger un malware à la victime. Cyberguerre a récemment analysé l’un d’entre eux, connu sous le nom de « RAT » dans le jargon. Une fois sur l’ordinateur de la victime, ce genre de logiciel malveillant offre d’énormes possibilités au hacker : il permet par exemple de se connecter à un compte sans avoir à fournir un mot de passe ou le code de la double authentification.

À chaque attaque, les développeurs du malware le modifient légèrement pour qu’il échappe aux détections des antivirus. Et pour s’en débarrasser, les victimes n’ont qu’une seule solution : réinitialiser leur ordinateur à zéro. Non seulement le phishing utilisé est particulièrement bien fait, mais le malware qui y est attaché est relativement fin. Tout cela pour toucher des comptes de « seulement » quelques milliers d’abonnées.

Après le désespoir de la perte, le soulagement de la récupération

«  On ne peut qu’alerter sur ces tentatives », regrette-t-on du côté de YouTube, contacté par Cyberguerre. La plateforme n’a pas tort : le piratage se fait au niveau de l’ordinateur de la victime, de sorte que même si le compte était parfaitement protégé, le hacker pourrait toujours y accéder. L’entreprise encourage tout de même les vidéastes à activer la double authentification sur le compte Google lié à la chaîne. Mais bien que souvent utile, cette protection s’avère inutile face à un RAT.

Si YouTube est impuissant sur le volet prévention, il se montre très efficace sur la récupération des comptes, notamment grâce à une équipe de modérateurs joignables 7 jours sur 7. Seul inconvénient, ils sont anglophones. La procédure de récupération d’un compte YouTube piraté est claire, et il suffit de remplir un formulaire. Nos vidéastes en ont profité. « Quasiment tous les jours, j’avais une mise à jour sur la situation de la part du support  », nous explique Audric.

Dans un premier temps, la plateforme a rétabli sa chaîne, à peine 4 jours après la suppression. Puis le processus pour lui en redonner le contrôle a duré « une semaine  », le temps d’effectuer de nombreuses vérifications d’identité. Pour cause : chaque victime doit prouver que les raisons du bannissement ne sont pas de son fait.

Après 2 semaines d’arrêt, Michel a pu reprendre ses vidéos. // Source : Super Walker – YouTube

Manu aussi a récupéré son compte au bout d’une dizaine de jours, preuve que son nombre d’abonnés bien plus faible que les autres n’en fait pas une priorité moindre. Quant à Michel, la procédure a pris plus de temps. « Ma chaîne a été réactivée une première fois par YouTube, mais les hackers en ont profité pour rééditer une vidéo interdite de ‘cryptomonaie » et mon compte a à nouveau été bloqué. Je suis en contact avec Sasha de la Team YouTube, et la procédure est encore en cours », écrivait-il à Cyberguerre le 3 juin. Finalement, il a pu en reprendre le contrôle dans les jours qui ont suivi.

Un porte-parole de YouTube nous précise que « pour les plus gros créateurs, qui ont atteint un certain palier, on peut faire un accompagnement plus spécialisé par des équipes basés en France ». Une bonne chose, sachant que pour les youtubeurs les plus suivis, la chaîne est leur principal outil de travail. Sa suppression revient à les mettre au chômage.

En moyenne, les vidéastes perdent entre 5 et 10 % de leurs abonnés entre le piratage et leur période d’inactivité. Une perte non négligeable, mais bien inférieure au scénario catastrophe. Ils peuvent récupérer leurs vidéos, et repartir de l’avant. Enfin, après un peu de ménage : « Je pourrais comparer l’état de ma chaîne à celui d’un magasin dévalisé. On a encore tout le stock, mais il faut tout réorganiser et mettre à plat  », constate Audric.

Vous voulez nous raconter votre histoire de piratage ? Vous pouvez nous joindre à francois.manens@humanoid.fr 

Crédit photo de la une : Les Schtroumpfs

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux