D'où viennent les comptes Netflix vendus au marché noir ?
Netflix semble décidé à accélérer sa lutte contre le vol des comptes.
Comme dans tous les marchés noirs, des arnaqueurs tentent de vendre de faux identifiants ou des identifiants périmés, et il n'y a aucune régulation. Et pour cause : l'achat de comptes est illégal, en plus de ne garantir en rien le résultat espéré.
Pourquoi des gens achètent-ils ces accès Netflix ?
Selon le type d'abonnement, Netflix coûte en France entre 7,99 et 15,99 euros par mois. L'abonnement peut être résilié à tout moment, et contrairement à son concurrent Disney+, Netflix ne propose pas d'abonnement à l'année. Les acheteurs peuvent donc avoir deux idées en tête :
Tenter d'expulser le propriétaire légitime de son compte, pour profiter du mois d'abonnement déjà payé à moindre prix -- quelques euros au lieu de 15,99 euros. S'ils sont chanceux, l'abonnement ne sera pas immédiatement résilié : certaines victimes ne savent pas comment réagir dans cette situation et pourraient continuer à payer pendant quelques mois.
Devenir un passager clandestin durable du compte. Le compte Netflix Premium permet d'avoir jusqu'à 4 écrans simultanés. Si l'intrus parvient à naviguer entre les profils lorsque les propriétaires ne les utilisent pas, il pourra regarder séries et films à sa guise.
Reste que la prise de contrôle d'un compte n'est pas toujours simple. Netflix avertit par email le titulaire du compte dès que quelqu'un se connecte depuis un nouvel appareil. Il pourrait donc réagir rapidement, et changer son mot de passe avant que l'intrus ne le fasse. Ensuite, Netflix peut venir en aide aux victimes même après que l'acheteur a changé les identifiants du compte. Joignable par téléphone et par email, le service client peut redonner la main sur un compte si le propriétaire donne suffisamment de preuves.
Comment les comptes Netflix sont-ils piratés ?
Vous vous demandez sûrement d'où viennent les vagues de comptes Netflix piratés. Ils peuvent avoir de nombreuses origines, comme ce malware qui espionne les navigateurs, mais le plus souvent, ils proviennent de deux sources :
Des phishings pour récupérer les identifiants
Les comptes Netflix sont régulièrement la cible de campagne de phishing : des malfaiteurs se font passer pour le service client du service de streaming afin de récupérer les identifiants aux comptes. Pour tromper leurs victimes, ils utilisent des dizaines de scénarios différents, mais en voici trois récurrents :
Vous recevez un faux message d'avertissement qui vous incite à rapidement vous connecter à votre compte afin de ne pas vous le faire voler. Le lien contenu dans l'email des malfaiteurs renverra vers une fausse page de connexion à Netflix, et les identifiants que vous rentrerez tomberont entre les mains des malfaiteurs.
Vous recevez un message pour vous prévenir qu'à la suite d'un problème technique, votre compte Netflix sera résilié ou à déjà été résilié. Le faux service client vous propose un lien pour corriger cette erreur. Là encore, il s'agit d'une fausse page Netflix, contrôlée par les malfrats.
Le message fait miroiter une offre immanquable sur le prix de l'abonnement. Dans ce cas, les malfaiteurs tireront sur l'appât du gain facile et la peur de manquer une offre en or pour piéger leurs victimes.
Ces messages de phishing sont envoyés à des listes massives d'adresses email, trouvées sur des forums d'échanges de données. Peut-être que tous les destinataires n'ont pas un compte Netflix, mais ce n'est pas grave pour les malfaiteurs : ils lancent un filet, et espèrent simplement remonter quelques poissons. Tant pis si la majorité des cibles passe entre les mailles du filet, ce genre de ciblage massif se fait à peu d'efforts et à moindre coût. Mais si le phishing est un biais non négligeable pour obtenir les identifiants, il n’en est pas le principal.
Des accès obtenus grâce aux fuites de données
Pour comprendre comment la majorité des vendeurs ont récupéré l'accès à des comptes Netflix, il faut remonter tout en haut de la chaîne des fuites de données.
À la source, des hackers parviennent à profiter de vulnérabilités dans la sécurité des entreprises et autres types d'organisations pour dérober leurs bases de données. Chaque jour, des dizaines de bases de ce genre sont mises à la vente ou publiées gratuitement sur les forums de cybercriminels.
Parmi les acquéreurs de ces fichiers volés se trouve une catégorie de revendeurs intermédiaires. Eux ne sont à la recherche que d'un duo d'informations : l'email et le mot de passe. Que ce duo d'identifiants provienne d'un forum d'amateurs de plantes vertes ou d'un service bancaire leur importe peu. Ils veulent simplement extraire l'information « email:motdepasse » de plusieurs fichiers, quelle que soit l'origine. Ils vont ensuite les agréger dans un nouveau fichier sous forme de liste, qu'ils vont mettre à la vente. Dans le jargon, on parle de « combo list ».
Les acheteurs de ces combo lists vont se servir des duos email/mot de passe pour essayer de se connecter à toutes sortes de comptes. Ils espèrent ainsi exploiter une erreur faite par de nombreux internautes : la réutilisation de mots de passe.
Par exemple, ils vont prendre une ligne du fichier -- disons « [email protected]:Gégé75! » -- et essayer ce duo d'identifiants sur plusieurs services comme Netflix, Disney+, différents VPN ou encore des comptes Minecraft. Une fois qu'ils voient qu'un duo d'identifiants fonctionne, ils pourront isoler cet accès pour le mettre à la vente. Afin de rentabiliser la manœuvre, ils doivent obtenir suffisamment d'accès pour couvrir le coût de la combo list. Autre conséquence de ce système : si la liste a été vendue à plus d'un acheteur, un même compte peut être piraté par plusieurs personnes.
Comme pour le marché de la drogue, c'est le menu fretin de la criminalité qui vend ces accès, après que tous les gros poissons se soient servis. Les vendeurs ont rarement des compétences informatiques avancées, et ils se contentent de faire tourner un business facile.
Comment s'organise le marché de la vente de comptes Netflix ?
Les malfaiteurs ont obtenu des accès, ils doivent maintenant les mettre à la vente... ce qui est très simple. Pas besoin de fouiller le « dark web » pour trouver les vendeurs : ils ont pignon sur rue. Des dizaines d'entre eux font leur promotion sur le plus populaire des forums de vente de données, accessible à tous depuis n'importe quel navigateur. D'autres se réunissent directement sur des serveurs de la plateforme de chat vocal Discord, dont les clients ont obtenu l'adresse par du bouche-à-oreille. Certains vont jusqu'à faire leur promotion directement sur les réseaux sociaux, panneau de vente à l'appui.
Discord et Telegram sont les deux messageries privilégiées pour les négociations d'achat et l'éventuel service après-vente -- certains vendeurs promettent un fallacieux « accès à illimité à vie » à leurs acheteurs. Les vendeurs les plus organisés prennent même le temps de créer de petits sites pour présenter leurs « produits » de façon élégante. Ils profitent de services qui permettent de le faire en quelques clics, comme sellix[.]io ou shoppy[.]gg, qui régulent très peu les contenus mis en vente. D'autres passent par des sites de ventes entre particuliers comme eBay.
Vers la fin du marché noir ?
La protection envisagée par Netflix s'apparente à une procédure de double authentification. Concrètement, si quelqu'un hors du même réseau wifi que le propriétaire du compte tente de se connecter à Netflix, une fenêtre d'avertissement apparait. Pour l'enlever, l'utilisateur doit rentrer son adresse email puis un code de vérification qui sera envoyé à cette adresse. Si un intrus tente de se connecter au compte grâce à des identifiants récupérés dans un phishing par exemple, il ne pourra pas se connecter. Si c'est un proche, le propriétaire du compte pourra lui communiquer le code.
La double authentification est une protection élémentaire, proposée par de nombreux services, dont Facebook, Twitter, Gmail... Elle permet d'éviter justement qu'une personne puisse se connecter simplement avec les identifiants. Et il est d'ailleurs surprenant que Netflix ne l'ait pas déployé plus tôt, et se soit contenté de mettre en avant des précautions d'hygiène numérique.