Après plusieurs mois d'observation, un community manager dévoile sur son blog un système organisé de concours sur Twitter, qui prétendent offrir des comptes Spotify et Netflix aux gagnants. Il s'agit en fait de comptes piratés. Le tout est organisé par des internautes... visiblement très jeunes.

Mise à jour du 26 avril à 16 heures : Contacté par nos soins, Netflix a répondu en disant qu’ « il y a des fraudeurs partout sur Internet » et que «  tout ce que vous obtenez en accédant à un compte Netflix est la possibilité de regarder des films/séries, et non l’accès à un compte bancaire de quelqu’un ou d’autres informations plus sensibles ». Le service de streaming ajoute que ses abonnés peuvent changer leur mot de passe s’ils remarquent que « quelqu’un utilise [leur] compte à travers leur historique ».

« Comment en participant à 9 500 concours sur Twitter j’ai gagné vos comptes premium » : ce 24 avril 2018, le blogueur Klakinoumi a dévoilé dans un long article un sujet qui l’occupe depuis plusieurs mois. L’auteur explique les éléments qui l’ont amené à découvrir comment des concours organisés sur Twitter parviennent à revendre des comptes Spotify et Netflix piratés.

Contacté par la rédaction de Numerama, le blogueur — également connu sous son véritable nom Éric Liégeois, community manager de profession — raconte comment il a fait cette découverte : « À l’automne dernier, j’ai commencé à faire des exercices sur le langage de programmation Python, et j’ai créé mon bot. En trois mois, je l’ai utilisé pour participer à environ 10 000 concours, de type ‘RT’ ou ‘follow’ [ndlr : lorsque le fait de s’abonner au compter ou de retweeter la publication vaut participation au concours]. Parmi ces concours, il y en avait bien sûr des légitimes, organisés par des institutions  », note-t-il.

Des comptes qui appartiennent déjà à quelqu’un

Il dresse alors un schéma des différents comptes auxquels le bot s’est abonné pour participer aux concours. Une fraction d’entre eux attire alors son attention : dans « le monde merveilleux des digital influenceurs  », Klakinoumi constate des filiations entre certains comptes, et que beaucoup d’entre eux sont jeunes (moins d’un an ou moins de six mois).

Les prix à gagner consistent la plupart du temps en des comptes premium sur des plateformes comme Spotify ou Netflix, ou pour jouer à Minecraft. En général, les tweets invitent les internautes à retweeter la publication et suivre le compte, en précisant le nombre de retweets requis pour dévoiler le résultat du concours.

CC Julien Sabardu

Or, les gagnants de ces comptes découvrent en fait dans leur boîte de réception des messages les invitant à utiliser un compte Spotify ou Netflix… qui appartient clairement à quelqu’un d’autre. « On te fait littéralement gagner un compte. On ne te dit pas qu’il s’agit de celui de quelqu’un d’autre. Un quelqu’un qui paye pour ça… avec son argent à lui », écrit le blogueur dans son article.

Ce sont en effet les adresses email et les mots de passe d’autres internautes que ces concours offrent à leurs gagnants. Klakinoumi explique d’ailleurs être parvenu à retrouver les personnes dont les données ont ainsi été usurpées.

« Au-delà du fait d’usurper une identité, ce qui m’a surtout intrigué c’est de savoir qui le fait, malgré les risques qu’entraîne ce genre de pratique. Je ne me suis jamais fait passer pour un organisateur de concours, mais j’ai pu constater la décontraction totale autour de cette méthode », s’étonne notre interlocuteur. Il découvre également que, derrière de nombreux vendeurs de comptes usurpés, se cachent souvent de très jeunes internautes, âgés de 14 ans… et qui peuvent parfois gagner plusieurs milliers d’euros avec ces petites combines.

Au cœur du dispositif : des sites qui vendent illégalement toute sorte de comptes numériques, de Netflix à Spotify en passant par Minecraft ou Fortnite, tenus par les mêmes ados. Sans cacher son étonnement, Éric Liégeois estime qu’il n’a pas trouvé un pilier central, manipulateur, qui gagnerait des sommes colossales sur le dos des jeunes.

« Décontraction totale »

Après plusieurs mois à observer le phénomène, il décide finalement de contacter Netflix et Spotify en mars 2018. « Les représentants de presse tombaient de leur chaise, se souvient Klakinoumi. Netflix US m’a répondu par mail que, pour eux, il n’y avait pas de problème… Pourtant, ce sont des données jetées en pâture. »

Il évoque alors le principe de la double authentification comme un moyen de résoudre le problème. « Spotify m’a dit qu’ils me recontacteraient à ce sujet il y a un mois. Netflix a répondu qu’ils craignaient de perdre des utilisateurs qui n’arriveraient plus à se connecter. En répondant cela, ils entretiennent la faille », conclut le blogueur. Bref, choisissez un bon mot de passe.

L’article complet est à découvrir à cette adresse.

Partager sur les réseaux sociaux