Depuis au moins 2019, des pirates informatiques détournent des personnalités Youtube canaux. Parfois, ils diffusent arnaques aux crypto-monnaies, parfois, ils vendent simplement aux enchères l’accès au compte. Désormais, Google a détaillé la technique utilisée par les pirates pour compromettre des milliers de Créateurs YouTube au cours des deux dernières années seulement.
Les escroqueries par crypto-monnaie et les prises de contrôle de compte elles-mêmes ne sont pas rares ; ne cherchez pas plus loin que le hack Twitter de l’automne dernier pour un exemple de ce chaos à grande échelle. Mais l’assaut soutenu contre les comptes YouTube se distingue à la fois par son ampleur et par les méthodes utilisées par les pirates, et une vieille manœuvre qui est néanmoins incroyablement difficile à défendre.
Tout commence par un hameçonnage. Les attaquants envoient aux créateurs YouTube un e-mail qui semble provenir d’un service réel, comme un VPN, une application de retouche photo ou une offre antivirus, et proposent de collaborer. Ils proposent un arrangement promotionnel standard : montrez notre produit à vos téléspectateurs et nous vous paierons des frais. C’est le genre de transaction qui se produit tous les jours pour les sommités de YouTube, une industrie animée de paiements d’influenceurs.
En cliquant sur le lien pour télécharger le produit, cependant, le créateur est dirigé vers un site de destination de logiciels malveillants au lieu de la vraie affaire. Dans certains cas, les pirates ont usurpé l’identité de quantités connues comme les jeux Cisco VPN et Steam, ou ont prétendu être des médias axés sur COVID-19. Google affirme avoir trouvé à ce jour plus de 1 000 domaines spécialement conçus pour infecter des YouTubers involontaires. Et cela ne fait qu’indiquer l’échelle. La société a également trouvé 15 000 comptes de messagerie associés aux attaquants à l’origine du stratagème. Les attaques ne semblent pas avoir été l’œuvre d’une seule entité ; plutôt, selon Google, divers pirates ont annoncé des services de prise de contrôle de compte sur des forums en russe.
Une fois qu’un YouTuber télécharge par inadvertance le logiciel malveillant, il récupère des cookies spécifiques à partir de son navigateur. Ces « cookies de session » confirment que l’utilisateur s’est connecté avec succès à son compte. Un pirate informatique peut télécharger ces cookies volés sur un serveur malveillant, les laissant se faire passer pour la victime déjà authentifiée. Les cookies de session sont particulièrement précieux pour les attaquants car ils éliminent le besoin de passer par n’importe quelle partie du processus de connexion. Qui a besoin d’informations d’identification pour se faufiler dans le centre de détention de l’Étoile de la mort alors que vous pouvez simplement emprunter l’armure d’un stormtrooper ?
« Des mécanismes de sécurité supplémentaires comme l’authentification à deux facteurs peuvent présenter des obstacles considérables pour les attaquants », explique Jason Polakis, informaticien à l’Université de l’Illinois à Chicago, qui étudie les techniques de vol de cookies. « Cela fait des cookies de navigateur une ressource extrêmement précieuse pour eux, car ils peuvent éviter les contrôles de sécurité et les défenses supplémentaires qui sont déclenchés pendant le processus de connexion. »
De telles techniques de « passer le cookie » existent depuis plus d’une décennie, mais elles sont toujours efficaces. Dans ces campagnes, Google affirme avoir observé des pirates informatiques utilisant une douzaine d’outils malveillants prêts à l’emploi et open source différents pour voler les cookies du navigateur sur les appareils des victimes. Beaucoup de ces outils de piratage pourraient également voler des mots de passe.
« Les attaques de piratage de compte restent une menace endémique, car les attaquants peuvent exploiter les comptes compromis de pléthore de façons », explique Polakis. « Les attaquants peuvent utiliser des comptes de messagerie compromis pour propager des escroqueries et des campagnes de phishing ou peuvent même utiliser des cookies de session volés pour drainer les fonds des comptes financiers d’une victime. »
Google ne confirmerait pas quels incidents spécifiques étaient liés à la vague de vols de cookies. Mais une augmentation notable des prises de contrôle s’est produite en Août 2020, lorsque des pirates ont détourné plusieurs comptes avec des centaines de milliers d’abonnés et ont changé les noms de chaînes en variantes de « Elon Musk » ou « Space X », puis diffusés en direct cadeau de bitcoins escroqueries. On ne sait pas combien de revenus l’une d’entre elles a généré, mais ces attaques ont probablement eu un succès au moins modéré compte tenu de leur omniprésence.
Ce type de prise de contrôle de compte YouTube s’est intensifié en 2019 et 2020, et Google a déclaré avoir convoqué un certain nombre de ses équipes de sécurité pour résoudre le problème. Depuis mai 2021, la société affirme avoir intercepté 99,6 % de ces e-mails de phishing sur Gmail, avec 1,6 million de messages et 2 400 fichiers malveillants bloqués, 62 000 avertissements de page de phishing affichés et 4 000 restaurations de compte réussies. Aujourd’hui, des chercheurs de Google ont observé des attaquants en train de cibler des créateurs qui utilisent des fournisseurs de messagerie autres que Gmail, comme aol.com, email.cz, seznam.cz et post.cz, afin d’éviter la détection de phishing par Google. Les attaquants ont également commencé à essayer de rediriger leurs cibles vers WhatsApp, Telegram, Discord ou d’autres applications de messagerie pour les garder hors de vue.
« Un grand nombre de chaînes piratées ont été renommées pour la diffusion en direct d’arnaques aux crypto-monnaies », explique Google TAG dans un article de blog. «Le nom de la chaîne, la photo de profil et le contenu ont tous été remplacés par une marque de crypto-monnaie pour se faire passer pour de grandes entreprises de technologie ou d’échange de crypto-monnaie. L’attaquant a diffusé en direct des vidéos promettant des cadeaux de crypto-monnaie en échange d’une contribution initiale.
Bien que l’authentification à deux facteurs ne puisse pas arrêter ces vols de cookies basés sur des logiciels malveillants, il s’agit d’une protection importante contre d’autres types d’escroqueries et de phishing. À partir du 1er novembre, Google exigera des créateurs YouTube qui monétisent leurs chaînes qu’ils activent le double facteur pour le compte Google associé à leur YouTube Studio ou à leur gestionnaire de contenu YouTube Studio. Il est également important de tenir compte des avertissements de « navigation sécurisée » de Google concernant les pages potentiellement malveillantes. Et comme toujours, faites attention à ce que vous cliquez et aux pièces jointes que vous téléchargez à partir de votre e-mail.
Le conseil pour les téléspectateurs de YouTube est encore plus simple : si votre chaîne préférée propose un accord de crypto-monnaie qui semble trop beau pour être vrai, donnez-lui un œil du côté de Dramatic Chipmunk et passez à autre chose.
Cette histoire est apparue à l’origine sur wired.com.
Source link