{"id":20708,"date":"2023-06-13T11:31:49","date_gmt":"2023-06-13T09:31:49","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20708"},"modified":"2023-06-13T11:31:49","modified_gmt":"2023-06-13T09:31:49","slug":"youtubers-takeovers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/youtubers-takeovers\/20708\/","title":{"rendered":"L’utilisation de cookies vol\u00e9s pour pirater les cha\u00eenes YouTube"},"content":{"rendered":"

Il y a quelques mois de cela, le c\u00e9l\u00e8bre blogueur tech Linus Tech a \u00e9t\u00e9 pirat\u00e9<\/a>. Les cybercriminels ont pris le contr\u00f4le de ses trois cha\u00eenes YouTube, dont la plus importante compte plus de 15 millions d\u2019abonn\u00e9s, et ont commenc\u00e9 \u00e0 retransmettre des annonces d\u2019escroquerie \u00e0 la cryptomonnaie. Comment les cybercriminels ont r\u00e9ussi \u00e0 avoir acc\u00e8s aux cha\u00eenes YouTube ? Le c\u00e9l\u00e8bre blogueur tech n\u2019avait-il pas prot\u00e9g\u00e9 ses comptes avec un mot de passe complexe et l\u2019authentification \u00e0 deux facteurs ? Bien s\u00fbr que si, ou du moins c\u2019est ce qu\u2019il a d\u00e9clar\u00e9<\/a>.<\/p>\n

Linus Tech a \u00e9t\u00e9 victime d\u2019une attaque de type pass-the-cookie<\/em>, une m\u00e9thode souvent utilis\u00e9e pour attaquer les Youtubeurs. Cet article analyse de plus pr\u00e8s les objectifs et les motivations de ces attaques, comment les cybercriminels peuvent acc\u00e9der aux cha\u00eenes sans conna\u00eetre le mot de passe ni avoir acc\u00e8s \u00e0 l\u2019authentification multiple, comment Google a r\u00e9agi et comment ne pas \u00eatre victime de cette attaque.<\/p>\n

Pourquoi s\u2019en prendre aux cha\u00eenes YouTube ?<\/h2>\n

Les cha\u00eenes des Youtubeurs c\u00e9l\u00e8bres (et moins connus) sont g\u00e9n\u00e9ralement vol\u00e9es pour demander une ran\u00e7on<\/a> en retour ou pour utiliser l\u2019audience<\/a> (comme lors du piratage de Linus Tech). Dans ce dernier cas, apr\u00e8s le piratage de la cha\u00eene, les cybercriminels ont chang\u00e9 le nom, l\u2019image de profil et le contenu.<\/p>\n

Ainsi, au lieu d\u2019un blog en lien avec l\u2019innovation technologique, on aurait dit une cha\u00eene qui imitait celle d\u2019une grande entreprise (le plus souvent Tesla) avec l\u2019image de profil correspondante. Ensuite, les cybercriminels se servaient du compte pour retransmettre des enregistrements d\u2019Elon Musk o\u00f9 il parlait de cryptomonnaie et partageait son opinion. Tous les autres contenus sont g\u00e9n\u00e9ralement supprim\u00e9s.<\/p>\n

\u00a0<\/p>\n

\"\"<\/a>

Vid\u00e9os avec Elon Musk sur une cha\u00eene pirat\u00e9e. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

D\u2019autre part, le lien d\u2019un site qui propose une \u00ab\u00a0promotion unique de cryptomonnaie\u00a0\u00bb est partag\u00e9 dans le chat. Par exemple, Musk lui-m\u00eame offrait de la cryptomonnaie\u00a0: pour obtenir leur part et doubler les gains lors du retrait, les utilisateurs doivent transf\u00e9rer les fonds vers un certain portefeuille.<\/p>\n

\u00a0<\/p>\n

\"\"<\/a>

Title\/Alt\/Caption: Faux site qui cherche \u00e0 tromper les abonn\u00e9s \u00e0 la cha\u00eene. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Il y a tout de m\u00eame un d\u00e9tail \u00e9trange : les escrocs sont g\u00e9n\u00e9ralement pr\u00e9voyants et mettent en place des restrictions dans le chat pour que seuls les abonn\u00e9s \u00e0 la cha\u00eene depuis plus de 15 ou 20 ans puissent publier des messages. Et ce m\u00eame si la cha\u00eene n\u2019existait pas \u00e0 l\u2019\u00e9poque, puisque YouTube n\u2019est apparu qu\u2019en 2005.<\/p>\n

Il s\u2019agit bien d\u2019une arnaque typique que nous avons d\u00e9j\u00e0 analys\u00e9e une<\/a> ou deux<\/a> fois.<\/p>\n

\u00a0<\/p>\n

\"\"<\/a>

Envoyez-nous vos bitcoins et vous en recevrez deux fois plus. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

La vid\u00e9o a vite \u00e9t\u00e9 bloqu\u00e9e par YouTube, tout comme la cha\u00eene du blogueur malheureux, pour avoir enfreint le r\u00e8glement de la communaut\u00e9 YouTube. Puis le vrai propri\u00e9taire fait face \u00e0 une t\u00e2che colossale\u00a0: restaurer la cha\u00eene et prouver \u00e0 la plateforme que ce n\u2019est pas lui qui partageait les liens qui ouvraient de faux sites et qui diffusait des annonces d\u2019escroquerie.<\/p>\n

Dans le cas de Linus Tech, et de ses 15 millions d\u2019abonn\u00e9s, ce processus a \u00e9t\u00e9 relativement simple. La cha\u00eene a \u00e9t\u00e9 restaur\u00e9e en quelques heures seulement, m\u00eame s\u2019il a perdu la mon\u00e9tisation de ce jour-l\u00e0. Combien de temps \u00e7a prendrait \u00e0 un Youtubeur avec une plus petite audience de r\u00e9tablir la situation\u00a0? Est-ce qu\u2019il y arriverait\u00a0? En tant qu\u2019individu, vous ne voudrez s\u00fbrement pas vivre cette situation et conna\u00eetre les r\u00e9ponses \u00e0 ces questions.<\/p>\n

\u00a0<\/p>\n

Pirater une cha\u00eene sans conna\u00eetre le mot de passe<\/h2>\n

Pour pirater une cha\u00eene YouTube, les cybercriminels n\u2019ont pas besoin de voler les identifiants de connexion. Il leur suffit d\u2019avoir acc\u00e8s aux jetons de session. Mais commen\u00e7ons par le commencement\u2026<\/p>\n

L\u2019attaque typique d\u2019une cha\u00eene YouTube commence<\/a> g\u00e9n\u00e9ralement par l\u2019envoi d\u2019un e-mail au blogueur. Ce message aurait \u00e9t\u00e9 envoy\u00e9 par une v\u00e9ritable entreprise pour une proposition de collaboration\u00a0: service VPN, d\u00e9veloppeur de jeux vid\u00e9o ou fournisseur d\u2019antivirus. Le premier e-mail n\u2019a rien de suspect. Un membre de l\u2019\u00e9quipe du blogueur r\u00e9pond en envoyant le message habituel qui indique les co\u00fbts relatifs au placement de produits.<\/p>\n

Le message suivant est beaucoup moins innocent. Les escrocs envoient<\/a> une archive qui contient soi-disant un contrat, ou partagent un lien qui ouvre un service Cloud pour le t\u00e9l\u00e9charger, et fournissent le mot de passe qui permet d\u2019ouvrir l\u2019archive. Pour que l\u2019e-mail soit encore plus convaincant, les cybercriminels ajoutent g\u00e9n\u00e9ralement un lien qui ouvre le site ou les r\u00e9seaux sociaux du produit qu\u2019ils veulent que le blogueur \u00ab\u00a0promeuve\u00a0\u00bb. Ce lien peut ouvrir le site officiel d\u2019une entreprise de bonne foi ou une fausse page<\/a>.<\/p>\n

\u00a0<\/p>\n

\"\"<\/a>

E-mail avec un lien pour t\u00e9l\u00e9charger l\u2019archive qui contient le \u00ab\u00a0contrat\u00a0\u00bb. Source<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Si le blogueur, ou un de ses employ\u00e9s, ne fait pas attention et d\u00e9compresse l\u2019archive, il trouvera un ou plusieurs documents qui ressemble \u00e0 des fichiers Word ou PDF normaux. La seule chose bizarre est que tous les fichiers sont assez lourds (plus de 700 Mo), ce qui emp\u00eache leur analyse pour d\u00e9tecter d\u2019\u00e9ventuelles menaces en utilisant un service comme VirusTotal<\/a>. De nombreuses solutions de s\u00e9curit\u00e9 vont les ignorer pour cette m\u00eame raison. Lorsqu\u2019on ouvre les fichiers avec des outils sp\u00e9ciaux pour analyser les ex\u00e9cutables, on d\u00e9couvre qu\u2019il y a de nombreux espaces vides et que c\u2019est pour \u00e7a que les documents sont si lourds.<\/p>\n

\u00c9videmment, ce fichier qui semble \u00eatre un contrat innocent abrite en r\u00e9alit\u00e9 un programme malveillant. Conscient de ce probl\u00e8me, Google a analys\u00e9<\/a> ces attaques et a identifi\u00e9 les divers types de programmes malveillants utilis\u00e9s. On y trouve notamment le cheval de Troie RedLine qui vole les donn\u00e9es<\/a>. D\u2019ailleurs, de nombreux Youtubeurs l\u2019ont accus\u00e9<\/a> d\u2019\u00eatre \u00e0 l\u2019origine de leurs m\u00e9saventures.<\/p>\n

Les cybercriminels utilisent ce programme malveillant pour atteindre leur objectif principal\u00a0: voler les jetons de session du navigateur des victimes. Gr\u00e2ce aux jetons de session ou aux cookies, le navigateur \u00ab\u00a0se souvient\u00a0\u00bb de l\u2019utilisateur, ce qui lui permet de ne pas avoir \u00e0 effectuer tout le processus d\u2019identification (mot de passe et authentification \u00e0 deux facteurs) lorsqu\u2019il se connecte. Cela \u00e9tant dit, les jetons vol\u00e9s permettent aux cybercriminels de se faire passer pour les victimes authentifi\u00e9es et de se connecter \u00e0 leurs comptes sans avoir \u00e0 saisir les identifiants.<\/p>\n

\u00a0<\/p>\n

Et Google ?<\/h2>\n

Google conna\u00eet le probl\u00e8me depuis 2019. En 2021, l\u2019entreprise a publi\u00e9 une \u00e9tude importante intitul\u00e9e Phishing campaign targets YouTube creators with cookie theft malware<\/em><\/a> (Une campagne d\u2019hame\u00e7onnage cible les cr\u00e9ateurs de contenu sur YouTube \u00e0 l\u2019aide d\u2019un programme malveillant qui vole les cookies). L\u2019\u00e9quipe Threat Analysis Group<\/em> de Google a enqu\u00eat\u00e9 sur les techniques d\u2019ing\u00e9nierie sociale et sur les programmes malveillants d\u00e9ploy\u00e9s lors de ces attaques.<\/p>\n

\u00c0 la suite de cette \u00e9tude, l\u2019entreprise avait annonc\u00e9 qu\u2019elle avait adopt\u00e9 certaines mesures pour prot\u00e9ger les utilisateurs\u00a0:<\/p>\n