Plusieurs comptes célèbres ont été piratés, tout comme d’autres moins connus. Numerama a fait analyser le mode opératoire des hackers par un expert en cybersécurité.

Les pirates de chaînes YouTube refont surface. Les streameurs, les influenceurs et à vrai dire, tous les comptes sur la plateforme vidéo ainsi que ceux sur Twitch ou Instagram sont dans leur viseur, dès qu’ils comptent quelques milliers d’abonnés.

À chaque attaque, les chaînes se transforment subitement en un canal de promotion de cryptomonnaies. La photo de profil et la bannière sont modifiées, tout le contenu original disparaît au profit de publicités incitant à investir dans une crypto à partir d’un lien frauduleux. Des interviews détournées d’Elon Musk viennent appuyer les vidéos pour rendre l’escroquerie plus légitime.

Ce mode opératoire n’est pas nouveau, des campagnes de piratage identiques en tout point ont déjà été menées contre des streameurs par le passé. Elles reviennent dans l’actualité depuis que plusieurs chaînes célèbres se sont transformées en une immense fraude en l’espace de quelques secondes.

Tout commence par un message d’approche

Pour approcher les youtubeurs, les escrocs se font d’abord passer pour une marque qui voudrait collaborer avec eux afin de promouvoir un contenu sponsorisé (ce qui est légion chez eux). Après un premier échange, le propriétaire du compte reçoit généralement un fichier PDF lui expliquant la démarche à suivre pour tester leur produit. Un lien est intégré dans le document pour télécharger l’appli en question. Derrière cette URL se cache un malware programmé pour voler les identifiants et les mots de passe de la victime.

Antton Rocca, spécialisé dans le contenu mystère et paranormal, compte plus de 3,4 millions d’abonnés sur TikTok et 411 000 sur YouTube. Il a reçu des mails suspects sur son adresse pro, similaires à ceux qu’ont pu obtenir d’autres youtubeurs. Antton a pris l’initiative de les partager sur Twitter pour alerter ceux qui seraient potentiellement visés par ces pirates.

« Le mail est assez bien emmené, c’est similaire aux offres commerciales que l’on reçoit d’ordinaire. Le prix de la collaboration, 5 000 dollars, est assez élevé et directement fixé, ce qui est assez rare en revanche, mais pas impossible. Le montant peut paraître suffisamment élevé et crédible à la fois pour piéger des débutants », explique Antton Rocca, contacté par Numerama. « La démarche commence à devenir réellement suspecte lorsque l’on reçoit le fichier avec le lien de téléchargement », ajoute le youtubeur.

Une vague de streameurs piratés en France et à l’étranger

Antton a déjà été victime d’un hack en août dernier et se méfie d’autant plus aujourd’hui. « J’avais fait ma demande de certification auprès d’Instagram et j’ai reçu une réponse provenant d’une adresse qui paraissait totalement sécurisée et prenait parfois plusieurs jours pour me répondre. Au bout de quelques échanges, j’ai reçu un lien d’installation. Mon compte Instagram a été piraté dans la foulée, les mots de passe, le nom ont été changés et le hacker me demandait 5 000 euros pour récupérer mon compte. J’ai refusé de payer », se souvient Antton Rocca.

D’autres célèbres youtubeurs ont également été visés par des pirates, avec succès. En France, la compte de Michou, fort de plus de 7,2 millions d’abonnés, a été victime d’un détournement le 11 avril, sa chaîne a été automatiquement supprimée par YouTube pour avoir fait la promotion de crypto. Deux jours plus tard, c’est l’émission de débat Thinkerview qui subit le même sort. Dernièrement, les comptes de FedMyster aux États-Unis, Julien Bam en Allemagne ou encore Reckful, un youtubeur britannique décédé en 2020, ont également été visés par des hackers avec le même modus operandi.

L’appétit des hackers ne s’arrête pas aux stars du web, puisque des streameurs plus modestes ou avec des contenus plus spécialisés sont tout autant des cibles potentielles. Pierre, connu sur TikTok pour ses vidéos culture-cinéma sous le pseudo de Frame0_ (82 200 abonnés), en a fait la malheureuse expérience. Il détenait aussi une chaîne YouTube réunissant 3 000 abonnés. Le jeune vidéaste a reçu un mail quasi identique à celui d’Antton Rocca. Les formules et les mots employés sont les mêmes, seule la société usurpée change, puisque les escrocs se sont fait passer pour des représentants de Signal, l’appli de messagerie sécurisée.

Arnaque crypto
Le nom du compte Twitter de Frame0_ a été modifié par Tyler Winklevoss, un des plus célèbres investisseurs dans les cryptomonnaies. // Source : Frame0_

« Dans mes souvenirs j’ai uniquement cliqué sur le lien intégré dans le PDF. Quelques jours plus tard, des abonnés sur Instagram me préviennent par message que ma chaîne YouTube diffuse des contenus sur les crypto. Elle a été supprimée avant que je me rende dessus », nous raconte Pierre. « Mon compte Twitter a été également touché. Les pirates ont modifié le nom par Tyler Winklevoss, un investisseur dans les cryptomonnaies. J’ai changé le mot de passe de tous mes comptes », ajoute t-il.

Un malware de type « stealer » pour récupérer tous les mots de passe

Pour comprendre comment les hackers parviennent à prendre le contrôle des chaînes de streameurs, nous avons fait analyser les URL intégrés dans les messages par un expert en cybersécurité. Marc Nebout, de Sekoia, société spécialisée dans la détection de menace informatiques, a travaillé sur les PDF envoyé à Antton Rocca et Frame0_.

Les deux sites sont enregistrés sous un nom de domaine «pw» (professional web). Le lien de téléchargement est en réalité hébergé sur le réseau social Discord, la victime n’a devant elle qu’une copie de la page. Une fois le téléchargement effectué, le streameur reçoit un fichier zip, une archive. Ce dossier est protégé par un mot de passe, que le hacker fournit à la cible pour déverrouiller le piège. Cette astuce permet de cacher le malware aux outils de surveillances du web.

« Le logiciel malveillant en question est un stealer (voleur en anglais) », nous indique Marc Nebout. « Pour le lien Signal, c’est précisément le malware RedLine, disponible sur le darkweb pour une centaine de dollars. Ce logiciel vérifie tous les mots de passes enregistrés, notamment dans les coffres-forts des navigateurs. Une fois les codes récupérés, l’attaquant a deux options : les vendre ou les utiliser pour la promotion de crypto avec de faux liens d’affiliation, par exemple. »

Redline
Des chats entre utilisateurs du malware RedLine existent sur Telegram pour récupérer des mots de passe. // Source : Numerama

Comment les propriétaires de comptes de cibles peuvent se prémunir d’une telle attaque ? L’expert en cybersécurité conseille d’abord d’utiliser un double authentificateur avant de se connecter. Il recommande ensuite de créer un mot de passe unique pour chaque compte et d’installer un gestionnaire. Enfin, dans le doute, il est préférable de passer un coup de fil à l’entreprise en question pour vérifier si elle est à l’origine de ces mails.

Quant aux abonnés ou aux spectateurs, on ne peut que conseiller de ne pas cliquer sur le premier lien d’une vidéo d’Elon Musk faisant la promotion d’une nouvelle cryptomonnaie.