L’utilisation de cookies volés pour pirater les chaînes YouTube

Comment les escrocs peuvent pirater votre chaîne YouTube sans connaître votre mot de passe et sans avoir à utiliser l’authentification à deux facteurs.

Il y a quelques mois de cela, le célèbre blogueur tech Linus Tech a été piraté. Les cybercriminels ont pris le contrôle de ses trois chaînes YouTube, dont la plus importante compte plus de 15 millions d’abonnés, et ont commencé à retransmettre des annonces d’escroquerie à la cryptomonnaie. Comment les cybercriminels ont réussi à avoir accès aux chaînes YouTube ? Le célèbre blogueur tech n’avait-il pas protégé ses comptes avec un mot de passe complexe et l’authentification à deux facteurs ? Bien sûr que si, ou du moins c’est ce qu’il a déclaré.

Linus Tech a été victime d’une attaque de type pass-the-cookie, une méthode souvent utilisée pour attaquer les Youtubeurs. Cet article analyse de plus près les objectifs et les motivations de ces attaques, comment les cybercriminels peuvent accéder aux chaînes sans connaître le mot de passe ni avoir accès à l’authentification multiple, comment Google a réagi et comment ne pas être victime de cette attaque.

Pourquoi s’en prendre aux chaînes YouTube ?

Les chaînes des Youtubeurs célèbres (et moins connus) sont généralement volées pour demander une rançon en retour ou pour utiliser l’audience (comme lors du piratage de Linus Tech). Dans ce dernier cas, après le piratage de la chaîne, les cybercriminels ont changé le nom, l’image de profil et le contenu.

Ainsi, au lieu d’un blog en lien avec l’innovation technologique, on aurait dit une chaîne qui imitait celle d’une grande entreprise (le plus souvent Tesla) avec l’image de profil correspondante. Ensuite, les cybercriminels se servaient du compte pour retransmettre des enregistrements d’Elon Musk où il parlait de cryptomonnaie et partageait son opinion. Tous les autres contenus sont généralement supprimés.

 

Vidéos avec Elon Musk sur une chaîne piratée. Source

 

D’autre part, le lien d’un site qui propose une « promotion unique de cryptomonnaie » est partagé dans le chat. Par exemple, Musk lui-même offrait de la cryptomonnaie : pour obtenir leur part et doubler les gains lors du retrait, les utilisateurs doivent transférer les fonds vers un certain portefeuille.

 

Title/Alt/Caption: Faux site qui cherche à tromper les abonnés à la chaîne. Source

 

Il y a tout de même un détail étrange : les escrocs sont généralement prévoyants et mettent en place des restrictions dans le chat pour que seuls les abonnés à la chaîne depuis plus de 15 ou 20 ans puissent publier des messages. Et ce même si la chaîne n’existait pas à l’époque, puisque YouTube n’est apparu qu’en 2005.

Il s’agit bien d’une arnaque typique que nous avons déjà analysée une ou deux fois.

 

Envoyez-nous vos bitcoins et vous en recevrez deux fois plus. Source

 

La vidéo a vite été bloquée par YouTube, tout comme la chaîne du blogueur malheureux, pour avoir enfreint le règlement de la communauté YouTube. Puis le vrai propriétaire fait face à une tâche colossale : restaurer la chaîne et prouver à la plateforme que ce n’est pas lui qui partageait les liens qui ouvraient de faux sites et qui diffusait des annonces d’escroquerie.

Dans le cas de Linus Tech, et de ses 15 millions d’abonnés, ce processus a été relativement simple. La chaîne a été restaurée en quelques heures seulement, même s’il a perdu la monétisation de ce jour-là. Combien de temps ça prendrait à un Youtubeur avec une plus petite audience de rétablir la situation ? Est-ce qu’il y arriverait ? En tant qu’individu, vous ne voudrez sûrement pas vivre cette situation et connaître les réponses à ces questions.

 

Pirater une chaîne sans connaître le mot de passe

Pour pirater une chaîne YouTube, les cybercriminels n’ont pas besoin de voler les identifiants de connexion. Il leur suffit d’avoir accès aux jetons de session. Mais commençons par le commencement…

L’attaque typique d’une chaîne YouTube commence généralement par l’envoi d’un e-mail au blogueur. Ce message aurait été envoyé par une véritable entreprise pour une proposition de collaboration : service VPN, développeur de jeux vidéo ou fournisseur d’antivirus. Le premier e-mail n’a rien de suspect. Un membre de l’équipe du blogueur répond en envoyant le message habituel qui indique les coûts relatifs au placement de produits.

Le message suivant est beaucoup moins innocent. Les escrocs envoient une archive qui contient soi-disant un contrat, ou partagent un lien qui ouvre un service Cloud pour le télécharger, et fournissent le mot de passe qui permet d’ouvrir l’archive. Pour que l’e-mail soit encore plus convaincant, les cybercriminels ajoutent généralement un lien qui ouvre le site ou les réseaux sociaux du produit qu’ils veulent que le blogueur « promeuve ». Ce lien peut ouvrir le site officiel d’une entreprise de bonne foi ou une fausse page.

 

E-mail avec un lien pour télécharger l’archive qui contient le « contrat ». Source

 

Si le blogueur, ou un de ses employés, ne fait pas attention et décompresse l’archive, il trouvera un ou plusieurs documents qui ressemble à des fichiers Word ou PDF normaux. La seule chose bizarre est que tous les fichiers sont assez lourds (plus de 700 Mo), ce qui empêche leur analyse pour détecter d’éventuelles menaces en utilisant un service comme VirusTotal. De nombreuses solutions de sécurité vont les ignorer pour cette même raison. Lorsqu’on ouvre les fichiers avec des outils spéciaux pour analyser les exécutables, on découvre qu’il y a de nombreux espaces vides et que c’est pour ça que les documents sont si lourds.

Évidemment, ce fichier qui semble être un contrat innocent abrite en réalité un programme malveillant. Conscient de ce problème, Google a analysé ces attaques et a identifié les divers types de programmes malveillants utilisés. On y trouve notamment le cheval de Troie RedLine qui vole les données. D’ailleurs, de nombreux Youtubeurs l’ont accusé d’être à l’origine de leurs mésaventures.

Les cybercriminels utilisent ce programme malveillant pour atteindre leur objectif principal : voler les jetons de session du navigateur des victimes. Grâce aux jetons de session ou aux cookies, le navigateur « se souvient » de l’utilisateur, ce qui lui permet de ne pas avoir à effectuer tout le processus d’identification (mot de passe et authentification à deux facteurs) lorsqu’il se connecte. Cela étant dit, les jetons volés permettent aux cybercriminels de se faire passer pour les victimes authentifiées et de se connecter à leurs comptes sans avoir à saisir les identifiants.

 

Et Google ?

Google connaît le problème depuis 2019. En 2021, l’entreprise a publié une étude importante intitulée Phishing campaign targets YouTube creators with cookie theft malware (Une campagne d’hameçonnage cible les créateurs de contenu sur YouTube à l’aide d’un programme malveillant qui vole les cookies). L’équipe Threat Analysis Group de Google a enquêté sur les techniques d’ingénierie sociale et sur les programmes malveillants déployés lors de ces attaques.

À la suite de cette étude, l’entreprise avait annoncé qu’elle avait adopté certaines mesures pour protéger les utilisateurs :

  • Des règles heuristiques supplémentaires ont été mises en place afin d’identifier et d’empêcher l’hameçonnage et l’ingénierie sociale par e-mail, le vol de cookies par piratage ou encore les retransmissions en direct d’escroquerie à la cryptomonnaie.
  • Safe Browsing possède désormais de meilleures capacités pour identifier et bloquer les sites et les téléchargements malveillants.
  • YouTube a renforcé les processus impliqués lors du transfert d’une chaîne et ceux qui arrivent à détecter et à récupérer automatiquement plus de 99 % des chaînes compromises.
  • Account Security a renforcé les procédures d’authentification pour éviter les éventuelles activités à risque et avertir les utilisateurs.

Toutes ces mesures sont-elles efficaces ? À en juger par les commentaires des Youtubeurs, et le fait que les piratages de ce type continuent à se produire régulièrement, pas vraiment. D’ailleurs, alors que j’écrivais cet article, j’ai trouvé des vidéos d’Elon Musk sur trois chaînes apparemment volées. Linus tech a lui-même été outré de voir qu’au lieu de demander à l’utilisateur de saisir le mot de passe ou le code de l’authentification à deux facteurs, YouTube a laissé les escrocs changer le nom de la chaîne et l’image de profil et supprimer toutes les vidéos.

Protégez vous-même votre chaîne YouTube

Pour ne pas perdre le contrôle de votre chaîne YouTube, il convient de prendre quelques précautions. Tout d’abord, vous devez installer une solution de protection fiable sur tous vos appareils professionnels et organiser régulièrement des formations en cybersécurité pour votre équipe. Toute personne ayant accès à un compte professionnel doit dominer ces quelques principes :

  • Connaître les signes typiques d’hameçonnage
  • Être capable d’identifier l’ingénierie sociale
  • Ne jamais cliquer sur les liens suspects
  • Ne jamais télécharger ou ouvrir les pièces jointes qui sont des archives dont la source est inconnue.

 

Conseils