Depuis au moins 2019, les pirates piratent des chaînes YouTube très médiatisées. Parfois, ils diffusent des escroqueries à la crypto-monnaie, parfois ils vendent simplement aux enchères l’accès au compte. Maintenant, Google a détaillé la technique utilisée par les pirates informatiques pour compromettre des milliers de créateurs YouTube au cours des deux dernières années.
Les escroqueries à la crypto-monnaie et les prises de contrôle de compte elles-mêmes ne sont pas rares ; ne cherchez pas plus loin que le piratage de Twitter de l’automne dernier pour un exemple de ce chaos à grande échelle. Mais l’assaut soutenu contre les comptes YouTube se distingue à la fois par son ampleur et par les méthodes utilisées par les pirates, et une vieille manœuvre contre laquelle il est néanmoins incroyablement difficile de se défendre.
Tout commence par un hameçonnage. Les attaquants envoient aux créateurs de YouTube un e-mail qui semble provenir d’un véritable service, comme un VPN, une application de retouche photo ou une offre antivirus, et leur propose de collaborer. Ils proposent un arrangement promotionnel standard : montrez notre produit à vos téléspectateurs et nous vous paierons des frais. C’est le genre de transaction qui se produit tous les jours pour les sommités de YouTube, une industrie florissante de paiements d’influenceurs.
Cliquer sur le lien pour télécharger le produit, cependant, amène le créateur vers un site d’atterrissage de logiciels malveillants au lieu de la vraie affaire. Dans certains cas, les pirates ont usurpé l’identité de quantités connues telles que Cisco VPN et les jeux Steam, ou ont prétendu être des médias axés sur le COVID-19. Google affirme avoir trouvé à ce jour plus de 1 000 domaines spécialement conçus pour infecter les YouTubers involontairement. Et cela ne fait qu’indiquer l’échelle. La société a également trouvé 15 000 comptes de messagerie associés aux attaquants à l’origine du stratagème. Les attaques ne semblent pas avoir été l’œuvre d’une seule entité ; Google dit plutôt que divers pirates ont annoncé des services de prise de contrôle de compte sur des forums en russe.
Une fois qu’un YouTuber télécharge par inadvertance le logiciel malveillant, il récupère des cookies spécifiques de son navigateur. Ces “cookies de session” confirment que l’utilisateur s’est connecté avec succès à son compte. Un pirate peut télécharger ces cookies volés sur un serveur malveillant, les laissant se faire passer pour la victime déjà authentifiée. Les cookies de session sont particulièrement précieux pour les attaquants car ils éliminent le besoin de passer par n’importe quelle partie du processus de connexion. Qui a besoin d’informations d’identification pour se faufiler dans le centre de détention de l’Étoile de la mort alors que vous pouvez simplement emprunter une armure de Stormtrooper ?
“Des mécanismes de sécurité supplémentaires comme l’authentification à deux facteurs peuvent présenter des obstacles considérables aux attaquants”, déclare Jason Polakis, informaticien à l’Université de l’Illinois à Chicago, qui étudie les techniques de vol de cookies. “Cela fait des cookies de navigateur une ressource extrêmement précieuse pour eux, car ils peuvent éviter les contrôles de sécurité supplémentaires et les défenses qui sont déclenchées pendant le processus de connexion.”
De telles techniques de « pass-the-cookie » existent depuis plus d’une décennie, mais elles sont toujours efficaces. Dans ces campagnes, Google dit avoir observé des pirates utilisant environ une douzaine d’outils malveillants prêts à l’emploi et open source différents pour voler les cookies du navigateur sur les appareils des victimes. Beaucoup de ces outils de piratage pourraient également voler des mots de passe.
“Les attaques de piratage de compte restent une menace endémique, car les attaquants peuvent exploiter les comptes compromis de multiples façons”, déclare Polakis. les comptes financiers d’une victime.”
Google confirmerait quels incidents spécifiques étaient liés à la frénésie de vol de cookies. Mais une augmentation notable des prises de contrôle s’est produite en août 2020, lorsque des pirates ont piraté plusieurs comptes avec des centaines de milliers d’abonnés et ont changé les noms de chaînes en variantes sur “Elon Musk” ou “Space X”, puis ont diffusé en direct des escroqueries de cadeaux bitcoin. On ne sait pas combien de revenus chacun d’entre eux a généré, mais on peut supposer que ces attaques ont été au moins modérément réussies compte tenu de leur omniprésence.
Ce type de prise de contrôle de compte YouTube s’est intensifié en 2019 et 2020, et Google affirme avoir convoqué un certain nombre de ses équipes de sécurité pour résoudre le problème. Depuis mai 2021, la société affirme avoir intercepté 99,6 % de ces e-mails de phishing sur Gmail, avec 1,6 million de messages et 2 400 fichiers malveillants bloqués, 62 000 avertissements de page de phishing affichés et 4 000 restaurations de compte réussies. Aujourd’hui, les chercheurs de Google ont observé des attaquants en train de cibler des créateurs qui utilisent des fournisseurs de messagerie autres que Gmail, comme aol.com, email.cz, seznam.cz et post.cz, afin d’éviter la détection de phishing par Google. Les attaquants ont également commencé à essayer de rediriger leurs cibles vers WhatsApp, Telegram, Discord ou d’autres applications de messagerie pour rester hors de vue.
Un grand nombre de chaînes piratées ont été renommées pour la diffusion en direct d’escroqueries à la crypto-monnaie “, explique Google TAG dans un article de blog.” Le nom de la chaîne, la photo de profil et le contenu ont tous été remplacés par une marque de crypto-monnaie pour se faire passer pour de grandes entreprises de technologie ou d’échange de crypto-monnaie. L’attaquant a diffusé des vidéos en direct promettant des cadeaux de crypto-monnaie en échange d’une contribution initiale.”
Bien que l’authentification à deux facteurs puisse arrêter ces vols de cookies basés sur des logiciels malveillants, il s’agit d’une protection importante contre d’autres types d’escroqueries et de phishing. À compter du 1er novembre, Google demandera aux créateurs YouTube qui monétisent leurs chaînes d’activer le double facteur pour le compte Google associé à leur YouTube Studio ou à leur gestionnaire de contenu YouTube Studio. Il est également important de tenir compte des avertissements de Google “Safe Browsing” concernant les pages potentiellement malveillantes. Et comme toujours, faites attention à ce que vous cliquez et aux pièces jointes que vous téléchargez à partir de votre e-mail.
Le conseil pour les téléspectateurs de YouTube est encore plus simple : si votre chaîne préférée propose une offre de crypto-monnaie qui semble trop belle pour être vraie, donnez-lui un œil de côté Dramatic Chipmunk et passez à autre chose.
Cette histoire est apparue à l’origine sur wired.com.
Le début d’une nouvelle crypto-monnaie? Coincaïne ? Cocoon ?