Si on ne connaît pas de faille majeure en interne à la plateforme, les chaînes de ses vidéastes sont parfois un fruit mûr pour les hackers de tout poil.

La plateforme de partage de vidéos YouTube fête ses 20 ans. Si l’on ignore précisément la date du premier piratage qui a visé le célèbre site à la flèche blanche sur fond rouge, les attaques contre la plateforme sont sans doute presque aussi vieilles qu’elle, ou presque Revue d’une poignée d’opérations mémorables qui ont visé le service d’hébergement le plus célèbre du web.

Les mystérieux hackers de PoodleCorp

Il y a près de dix ans, WatchMojo, l’une des chaînes les plus populaires de YouTube, qui comptait alors 12 millions d’abonnés, est victime d’un piratage. « Nous travaillons avec YouTube » pour réparer les dégâts, déplorait en effet la chaîne en juin 2016. Une attaque informatique qu’on peut assimiler à du vandalisme. Il s’agissait visiblement pour les deux auteurs, « Obnoxious et Pein », qualifiés alors par la presse de trolls, de se faire un nom. « La seule chose qu’il font, c’est renommer des vidéos », remarquait un internaute à l’époque. Avec une certaine réussite, si l’on en croit ces traces vieilles de 9 à 5 ans qui existent encore sur la plateforme.

youtube is being hacked by

Outre les deux pseudonymes, le piratage de la chaîne WatchMojo renvoie vers un mystérieux collectif, PoodleCorp. Ce groupe s’en prendra également à la chaîne LeafyIsHere, un vidéaste de l’Utah, ou encore à Redmercy gaming. A l’été 2016, le groupe, rassemblant ch3wtoy, xo, antichrist, milkb0ne, shadowpoodle et black (une liste évolutive au fil du temps), selon un site à leur nom, revendique ainsi une dizaine de victimes. Il s’agissait à la fois de piratages de comptes et par ailleurs d’attaques en déni de service, qui saturent l’accès à un site en l’inondant de requêtes.

L’entreprise Level 3 Communications remarque alors que le groupe cible « de plus en plus » les appareils connectés, comme par exemple des caméras de surveillance, « pour créer des botnets afin de mener des attaques DDoS ». Ils les utilisent pour leurs propres besoins ou pour les louer, précise la société. PoodleCorp restera toutefois un mystère, avec des derniers tweets, suivis par plus de 90 000 abonnés, publiés en septembre 2016. C’est « officiellement terminé », signaleront-ils sur leur site web. « Personne ne nous a obligés à arrêter », affirmeront-ils, bravaches. Une façon d’indiquer qu’ils n’auraient pas été arrêtés.

Le piratage et la disparition du clip de « Despacito »

C’était le clip le plus vu au monde sur YouTube avec 5 milliards de vues. Une notoriété qui en faisait hélas la cible parfaite pour des pirates en mal de reconnaissance. En mars 2018, pendant quelques heures, le clip Despacito par Luis Fonsi subit une attaque par défiguration, avant de disparaître de la plateforme. « Hacked by Prosox & Kuroi’SH », peut-on ainsi lire un temps sous la vidéo, deux pseudos faisant référence à des pirates français. Ces derniers avaient en fait réussi à pirater la plateforme de streaming Vevo. Ce qui leur avait permis de faire des actions de défaçage dans un second temps au détriment d’une poignée de chaînes YouTube.

Luis Fonsi // Source : Capture d’écran

Mais contrairement à PoodleCorp, la fin de l’histoire ne va pas se terminer en queue de poisson. Les hackers vont être en effet identifiés par la justice française grâce à leurs adresses IP, rapportait l’AFP. Les deux jeunes Français, devenus depuis des habitués des prétoires, sont finalement jugés en février 2019 par le tribunal de grande instance de Paris. Le premier écopera d’une peine de 140 heures d’intérêt général, tandis que le second, souffrant d’autisme, sera déclaré irresponsable pénalement.

Les arnaques aux crypto-monnaies sur YouTube

Avril 2022 : le youtubeur français Michou partage son exaspération sur le réseau social Twitter. Le vidéaste originaire d’Amiens a beau avoir musclé ses protections, sa chaîne aux 7 millions d’abonnés s’appelle toujours « Tesla [LIVE] ». « C’est horrible de se dire que tout est entre les mains de quelqu’un d’autre », se désespère-t-il. Que s’est-il passé ? Sa chaîne vient en fait d’être hackée pour diffuser une arnaque aux crypto-monnaies. Même topo, près d’un an plus tard, pour le youtubeur canadien Linus Sebastian, lui aussi victime de pirates voulant piéger des internautes en usurpant la marque de voitures électriques et le nom de son propriétaire, le controversé Elon Musk.

Pour le créateur de la chaîne aux 15 millions d’abonnés, qui s’en était expliqué dans une vidéo, tout avait commencé par le clic malencontreux d’un membre de l’équipe sur un fichier PDF. Cette offre de sponsoring semblait émaner d’une source légitime, mais le fichier abritait en réalité un infostealer, ces logiciels voleurs de mots de passe, ouvrant aux pirates l’accès à la chaîne grâce aux jetons de session. Une attaque de type « pass-the-cookie », vulgarisera un peu plus tard l’éditeur russe Kaspersky, « une méthode courante pour cibler les youtubeurs. »

Google, le propriétaire de YouTube, alertait déjà en 2021 sur ce mode opératoire, attribué à des pirates recrutés sur un forum russophone. Le géant de Mountain View signalait que ce genre de vol de jetons était une manière de contourner les mécanismes d’authentification à plusieurs facteurs, une sécurité indispensable pour tous les vidéastes de la plateforme. Le hameçonnage débutait généralement par une proposition de collaboration pour une publicité, précisait l’entreprise. Une méthode largement reprise au vu de la myriade de youtubeurs victimes de ce mode opératoire.

YouTube tombe dans un « trou noir »

Malgré cette vague d’attaques, YouTube reste en elle-même une plateforme plutôt bien sécurisée. En vingt ans d’existence, on ne lui connaît ainsi pas de faille de sécurité interne majeure. Certes, des chercheurs en sécurité ont pu signaler des vulnérabilités comme récemment cette méthode pour faire fuiter l’email de n’importe quel utilisateur, ou il y a plus longtemps, avec ce bug autour du téléchargement de vidéos. En 2010, Google avait également comblé une faille qui permettait d’ajouter du code malveillant dans les commentaires des utilisateurs.

Toutefois, aucun site, même YouTube, est à l’abri d’un gros plantage. C’est ce qu’il s’est passé pour la plateforme de vidéos en février 2008, mise hors ligne pendant deux heures ! Mais ce n’était pas de son fait. Comme l’expliquait alors la presse, le problème était venu du Pakistan. En voulant restreindre l’accès à YouTube pour censurer une vidéo, l’opérateur local, Pakistan Telecom, avait créé une route factice. Après avoir été relayée aux autres fournisseurs d’accès à Internet par erreur, elle envoyait les internautes dans un trou noir.

« La technique employée est très banale et des tas de méchants l’ont déjà utilisée », relevait à l’époque Stéphane Bortzmeyer. Il s’agissait plus précisément d’un détournement d’adresse (IP hijacking) via le protocole BGP (Border Gateway Protocol). « Les routes sur Internet sont propagées d’opérateur en opérateur par le protocole BGP, et peu d’entre eux limitent ce qu’on peut annoncer, vulgarisait ce spécialiste des réseaux. N’importe quel routeur BGP de l’Internet peut tout à coup se mettre à dire ‘Envoyez tous les paquets IP à destination de YouTube vers moi’ ». Une attaque très médiatisée, relevait-il alors. « Si on ne peut plus regarder des vidéos débiles tournées avec les pieds, la sécurité internationale est menacée », ironisait-il.

