Depuis le début d'année, au moins deux YouTubeurs français se sont fait pirater leur chaîne YouTube. Le mode opératoire des hackers est le même : ils piègent une fausse demande de partenariat, en utilisant l'identité d'une marque existante.

«  Je viens de me lever… Je vois que mon compte YouTube a été piraté… Quelqu’un a une idée là ? Je suis abattu, j’ai envie de chialer. » Mardi 1 juillet, le YouTuber Marty lance une bouteille à la mer sur Twitter. Il vient de perdre le contrôle de sa chaîne, qui compte alors près de 50 000 abonnés.

Renommée « FalleN INSIDER » par le pirate, elle diffuse désormais en direct des retransmissions de parties d’un célèbre streamer du jeu de tir Counter Strike. Le hacker usurpe l’identité de FalleN et la notoriété de la chaîne de Marty pour promouvoir des arnaques. Il semble même avoir payé un service de bots, puisque le direct affiche plus de 20 000 spectateurs, un chiffre conséquent.

Le YouTuber high tech Marty s’est fait pirater le 30 juin. // Source : Marty/Youtube.

Le plus souvent dans ce genre de piratage, la chaîne invite les spectateurs à envoyer leur argent sur un porte-monnaie en bitcoin, en promettant de le rendre au double. Bien que simpliste, ce genre d’arnaque fonctionne : le 16 juillet, un hacker a récolté plus de 120 000 dollars en bitcoin en deux heures grâce à des comptes Twitter célèbres.

L’étudiant constate, dévasté, la disparition des 450 vidéos qu’il a publiées, résultat de plus de 4 ans de travail sur la chaîne. S’il ne gagne pas pleinement sa vie grâce à YouTube, la popularité qu’il a engrangée lui suffit à attirer les partenariats avec des marques. Cette rémunération lui permet d’acheter du nouveau matériel et de «  mettre de côté en parallèle des études ».

Deux demandes de partenariat comme principaux suspects

Marty s’étonne : il n’utilise l’adresse Gmail piratée que pour son compte YouTube, et elle est protégée par la double authentification (2FA). Concrètement, si une personne veut s’y connecter, elle doit renseigner un code reçu sur le smartphone du YouTubeur, quand bien même elle aurait trouvé le mot de passe. Problème : la 2FA semblait ne pas s’être activée, et Marty a simplement reçu un email de la part de Google sur son adresse de récupération, indiquant qu’elle avait été désactivée.

Le vidéaste soupçonne alors les deux demandes de partenariats auxquelles il a répondu la veille du piratage. Pour télécharger les logiciels, un VPN et un outil de montage, Marty avait utilisé un ordinateur sous Windows, alors qu’il travaille habituellement sur Mac. Il lui fallait lancer des fichiers en .exe, chose possible uniquement sous le système d’exploitation de Microsoft.

Le lendemain, Marty repense à ces interactions : et si l’un des deux fichiers contenait un malware ?

Alors qu’il s’était résigné à retrouver son compte une semaine après le piratage, il l’a finalement récupéré le 10 juillet. Non sans mal : il a reçu l’aide de Heliox, vidéaste à plus de 200 000 abonnés, qui avait connu la même mésaventure en mai. Elle s’était faite piéger par un faux partenariat qui usurpait l’identité du jeu vidéo Eastward, du studio Pixpil. Elle en garde un affreux souvenir, qu’elle a partagé en vidéo : «  Quand on réalise qu’on ne peut absolument rien faire, que la boîte mail est bloquée, et que tout le travail effectué sur la chaîne YouTube en 3 ans est anéanti en quelques secondes… Il n’y avait rien à faire, il fallait juste subir ».

Appuyée par d’autres vidéastes,  dont Cyprien, elle avait pu récupérer son compte en à peine deux jours, en profitant de l’action d’un « contact » chez YouTube. Marty, quant à lui, s’en tire simplement avec de grandes frayeurs et une perte de quelques centaines d’abonnés. Il a publié une vidéo sur son piratage, et repris son rythme de publication.

La jungle des partenariats est un terrain propice pour les pirates

Pour éclaircir l’affaire du hack de Marty, Numerama a contacté Robinson Delaugerre, directeur de l’investigation chez Orange Cyberdéfense. Le YouTubeur victime du hack nous avait au préalable envoyé les échanges d’emails pour les deux partenariats suspects, ainsi que le lien de téléchargement pour le VPN.

Après une rapide analyse, Robinson Delaugerre innocente le VPN. C’est donc le faux logiciel de montage, sous le nom de « Vex Editor » qui portait le malware. Pour ce partenariat, Marty a été contacté par « Alisa Fenzor », qui se présentait comme « promotion manager » de la marque. L’adresse de l’émetteur, à consonance slave, paraît étrange, mais l’email est rédigé dans un anglais compréhensible, bien qu’imparfait.

Voici l’email de phishing dont Marty a été victime. // Source : Remerciements à Marty

« J’ai rapidement recontacté cette personne qui m’avait proposé le partenariat avec un logiciel de montage. Elle m’a ensuite envoyé un brief avec un lien vers leur site. Les échanges étaient similaires à ceux que j’ai d’habitude avec les marques  », explique à Cyberguerre le YouTubeur. Les deux partis s’accordent sur un prix pour l’opération de promotion de Vex Editor, 2 000 euros, légèrement supérieur aux standards de la chaîne. Ça tombe bien, l’étudiant a besoin de s’acheter un nouveau Mac, le sien ne lui permettant plus de faire du montage vidéo.

Les partenariats suspicieux sont souvent légitimes

Son interlocutrice attache au dernier mail de leur échange un fichier PDF. «  Le brief était propre, j’aurais pu le recevoir de Xiaomi, Samsung ou Google », explique Marty dans sa vidéo. Le document indique plus d’informations (dans un anglais cette fois impeccable) sur le faux logiciel de montage, ainsi qu’un lien vers le supposé site web officiel de la marque. Alisa Fenzor lui dit qu’il n’est pas encore référencé sur Google, car l’entreprise veut le lancer en même temps que les vidéos d’influenceur. C’est sur ce site que Marty téléchargera le malware.

Le coupable est un faux logiciel de montage, Vex Editor. // Source : Numerama

Lorsque Numerama a essayé de consulter le site, il était déjà hors ligne. D’ailleurs, peu après notre première ouverture du PDF, le document était étiqueté comme phishing par Gmail. Google est donc parvenu à démonter l’arnaque après que Marty en a fait les frais.

A posteriori, le piège paraît grossier. Mais il faut le comparer avec les nombreuses demandes de partenariats que les YouTubeurs reçoivent chaque semaine. Si les plus suivis entretiennent des liens privilégiés avec les grandes marques, ceux qui n’ont « que » quelques dizaines de milliers d’abonnés reçoivent également un flot de propositions de partenariats, le plus souvent avec marques très peu connues. Dissocier les vraies demandes et les tentatives de phishing peut alors devenir compliqué.

Cyberguerre a consulté une dizaine d’exemples d’emails envoyés à d’autres YouTubeurs. Elles présentent les mêmes défauts que l’email pour Vex Editor : anglais approximatif, adresse d’émission suspicieuse, langage décontracté… sauf qu’elles sont légitimes.

Faut-il prendre le risque ? Si les petits YouTubeurs veulent générer des revenus intéressants avec leur chaîne, leur réponse sera le plus souvent positive.

Un malware « couteau suisse » pour garantir le vol

Ni Marty ni Heliox n’ont gardé de trace de leur malware, que nous n’avons pas pu faire analyser en détail. Mais Robinson Delaugerre a déjà des pistes sur le mode de fonctionnement des hackers : «  Si je me mets dans les chaussures de l’attaquant, je me dis que je n’ai qu’une chance pour que la victime clique sur l’exécutable, et je dois la saisir.  »

Le chercheur suspecte que le pirate utilise un «  remote access tool », un de ces malwares qui permet de prendre le contrôle de l’ordinateur à distance, et de lancer toutes sortes de programmes depuis l’appareil contaminé. C’est ce qui explique que la double authentification n’a servi à rien : le hacker était déjà sur un navigateur avec un compte authentifié.

Une fois sur l’ordinateur le pirate déploie des outils pour récupérer toutes les informations nécessaires

Selon cette hypothèse, le pirate ne se serait pas contenté de récupérer l’accès au compte Google convoité. « Je ne sais pas quel navigateur ma cible utilise, et je ne sais pas s’il stocke ses mots de passe dans son navigateur. Alors autant déposer un couteau suisse sur la machine », projette l’analyste.

Une fois l’outil de contrôle à distance déployé, le pirate peut par exemple installer un programme appelé «  keylogger », qui permettra d’enregistrer les mots de passe tapés sur le clavier et de traquer quels programmes sont lancés sur l’ordinateur. «  Il pourrait aussi faire un malware pour récupérer l’ensemble des cookies des navigateurs », ajoute l’expert. Avec ces informations en main, s’accaparer le compte devient un jeu d’enfant.

Les YouTubeurs étaient protégés, mais ça n’a pas suffi

Le PC de Marty, tout comme celui d’Heliox, a été contaminé alors qu’il était protégé par un antivirus gratuit populaire, en plus des défenses correctes intégrées à Windows 10.

Avant de supprimer le fichier malveillant, Heliox explique dans sa vidéo qu’elle l’a fait scanner sur Virus Total. Ce site permet de savoir si les dizaines d’antivirus recensés détectent un malware dans votre document. Bilan : seuls 9 d’entre eux l’ont identifié comme tel. Autant dire qu’à peine un cinquième des logiciels du marché auraient détecté l’attaque.

Dans la très grande majorité des attaques, des plus bénignes aux plus virulentes comme les rançongiciels, le phishing par un email malveillant sert de porte d’entrée pour le malware. Et il n’y a qu’un moyen de s’en protéger : ne jamais baisser sa garde, plus facile à dire qu’à faire. « Inutile de me dire qu’il n’aurait pas fallu ouvrir le fichier. On est deux mois après le début du confinement, j’ai beaucoup de projets en cours, je suis extrêmement fatiguée », tempère Heliox dans sa vidéo.

Finalement, les deux YouTubeurs français s’en sortent à moindre mal. Mais des piratages de ce genre touchent des dizaines de vidéastes de plus petites tailles chaque mois. Contacté par Cyberguerre, YouTube n’a pas répondu.

Vous vous êtes fait pirater votre compte YouTube ? Contactez-nous sur francois.manens@humanoid.fr

Crédit photo de la une : Marty/YouTube

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux