YouTube : des pirates s’emparent de chaînes populaires avec une simple adresse mail

Depuis ces derniers mois, les piratages de chaînes YouTube explosent. Le plus souvent, les hackers cherchent à prendre le contrôle de chaînes populaires pour les transformer en canaux pour la promotion des cryptomonnaies. Les utilisateurs sont alors invités à investir dans le Bitcoin ou une autre devise numérique via un lieu frauduleux. La plupart du temps, il suffit d'un mail pour que les pirates obtiennent le contrôle. Explications. 

Vous avez peut-être entendu parler des mésaventures de Michou, Youtubeur français aux 7 millions d'abonnés. A sa grande surprise, il s'aperçoit le 11 avril 2022 que sa chaîne a été supprimée par la plateforme pour avoir fait la promotion des cryptomonnaies et promis des retours sur investissements douteux.

Bien entendu, il s'agissait d'un piratage et le vidéaste a rapidement retrouvé la jouissance de sa chaîne. Malheureusement, le Youtubeur n'est pas le seul à avoir été victime de ce genre d'arnaque. Depuis plusieurs mois maintenant, Youtubeurs et steameurs (qu'ils soient extrêmement populaires ou plus modestes) sont régulièrement ciblés par les pirates et il n'est pas rare de retrouver des centaines de comptes volés en vente sur le Dark Web. L'objectif reste le même à chaque fois : s'emparer des mots de passe pour accéder au compte YouTube d'un vidéaste, modifier le nom et les bannières et profiter du nombre d'abonnés pour vanter les mérites de faux investissements dans les cryptos. 

A lire également : Bitcoin – non, Elon Musk ne vous offre pas de l’argent, c’est encore une arnaque

Une demande de contenu sponso et un mail suffisent

Concernant le mode opératoire, il est également très simple : les pirates se font passer pour une marque qui cherche à collaborer avec un Youtubeur/streamer pour faire des contenus sponsorisés. Généralement, il s'agit d'applications Android ou iOS. Après quelques échanges par mail, le vidéaste reçoit un fichier PDF qui contient un lien pour télécharger l'application en question. Evidemment, cette URL abrite un malware capable de récupérer les mots de passe et identifiants stockés dans le navigateur de la victime. 

Marc Nebout, chercheur en sécurité informatique pour le compte de Sekoia, a analysé certaines URL envoyées à des Youtubeur touchés pour nos confrères du site Numerama. Il explique notamment que les deux sites sont enregistrés sous un nom de domaine PW (Professionnal Web) et que le lien de téléchargement est hébergé en réalité sur Discord, la victime ne voyant sur l'écran qu'une copie de la page.

Une fois le téléchargement terminé, le vidéaste reçoit un fichier ZIP accessible uniquement via un mot de passe. Un mot de passe évidemment donné par le pirate dans le fichier PDF. C'est ici que se cache le malware. Grâce à cette protection, le maliciel évite d'être détecté par les outils de surveillance du Web. Pour se prémunir de ce genre d'attaque, l'expert conseille d'utiliser systématiquement l'authentification à double facteur. Seulement, c'est loin d'être suffisant, puisque certains pirates ont déjà réussi à contourner la double authentification pour prendre le contrôle de chaînes YouTube.