Les comptes YouTube volés sont exploités pour lancer des arnaques ou rançonner leur propriétaire. Mais les hackers doivent agir vite : ils entrent en concurrence avec la procédure de récupération de compte de Google.

Les identifiants de comptes YouTube sont une denrée de plus en plus prisée sur les marchés noirs, a constaté l’entreprise de cybersécurité Intsight. Vendus par lots sur les forums de cybercriminels, leurs prix varient en fonction du nombre d’abonnés.

Les acheteurs peuvent se servir des comptes piratés pour récupérer des revenus publicitaires, diffuser des arnaques ou tout simplement exiger une rançon au propriétaire de la chaîne. YouTube met à disposition une procédure pour récupérer l’accès au compte, mais son délai de réaction varie grandement selon les situations (statut de la victime, précisions des détails sur le piratage…). Si les pirates ont le temps d’exploiter la notoriété de la chaîne pendant quelques jours, leur mise de départ sur les identifiants sera rapidement remboursée et ils génèreront du profit.

Le labo d’Heliox, compte à plus de 220 000 abonnés, s’est fait pirater début mai. // Source : Le labo d’Heliox / YouTube

Contre-la-montre avec le service de récupération du compte

Pour appuyer son constat, Intsight publie plusieurs captures d’écran d’enchères, trouvées sur les marchés noirs. Les enchères pour un compte avec 200 000 abonnés démarrent à 1 000 dollars et il faut ajouter 200 dollars au minimum à chaque enchère. Sur un autre forum, un compte avec 990 000 abonnés commençait son enchère à 1 500 dollars avec un prix d’achat immédiat de 2 500 dollars. Les chercheurs en cybersécurité expliquent ces écarts de prix par la différence dans le calcul coût-risque de chaque hacker.

Les enchères ne durent que rarement au-delà de 24 heures, car les cybercriminels ont peur que leurs données perdent toute valeur avec l’éventuelle récupération du compte. Les moins confiants fixent donc des prix d’achat immédiats suffisamment bas pour convertir leur piratage en gain à coût sûr. L’acheteur des identifiants devra lui aussi agir vite pour déployer son schéma malveillant sur la chaîne piratée.

Les hackers utilisent de faux partenariats bien ficelés

Pour mettre la main sur les identifiants, les cybercriminels passent le plus souvent par des campagnes de phishing, avec différents objectifs : certains vont se contenter d’essayer de récupérer les identifiants avec de faux formulaires, d’autres vont tenter de faire télécharger un malware. Cette seconde supercherie permettra de lancer des attaques plus élaborées pour récupérer les comptes, puisque le pirate pourra œuvrer depuis l’ordinateur de la victime.

Début mai, la Youtubeuse Heliox, propriétaire d’une chaîne d’expérience et de tutoriels qui comptait plus de 220 000 abonnés, s’est fait pirater. Sa chaîne, renommée Tesla BTC, diffusait en direct une vidéo incitant les spectateurs à miser des bitcoins dans un schéma financier frauduleux.

Comme le détaille Davy Mourier dans une de ces vidéos, le piratage a été sans trop de conséquences. Heliox a récupéré son compte le lendemain, et le pirate n’avait pas supprimé ses vidéos — ils les avaient simplement passées en privé. Mais le vidéaste souligne que cette récupération accélérée a été permise par l’intervention de Cyprien, une des plus grandes figures du YouTube français, qui a fait jouer son carnet d’adresses.

« Il connaissait la manière de fonctionner des YouTubers »

Pour piéger sa victime, le hacker s’était fait passer pour le représentant d’un jeu vidéo qui existe : Eastwards, édité par Pixpil Games. « Les emails étaient tellement ressemblants des emails qu’on reçoit habituellement de la part des agences publicitaires », explique Mourier, à qui Heliox avait fait passer l’offre de partenariat reçu sur sa chaîne. Après avoir que la prétendue représentante marketing a accepté les conditions du partenariat, elle a envoyé un lien de téléchargement pour le jeu, en .exe. Mourier ne parvenant pas à l’ouvrir, il a alors demandé à Heliox de tester.

Au lieu de contenir le jeu, le fichier contenait un cheval de Troie, qui a permis de pirater le compte d’Heliox, pourtant protégé par la double authentification, d’après la principale concernée. « Il connaissait exactement la manière de fonctionner des YouTubeurs », s’étonnait encore Davy Mourier. « Notre chaîne YouTube c’est un peu comme notre boutique. Et là, en une nuit, il a pris les clés et on pensait qu’il avait tout détruit. »

Ce postulat permet de comprendre l’intérêt des demandes de rançon : puisque YouTube est l’unique source de revenus de certains vidéastes piratés, ils seront particulièrement susceptibles de payer la demande de rançon.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux