Une grosse arnaque a récemment permis à des hackers de prendre le contrôle de milliers de chaînes YouTube. Comment ont-ils opéré ? Comment s’en protéger ?
Un rapport du groupe de Google Threat Analysis met en lumière une campagne de phishing ciblant les créateurs de contenu sur YouTube. Les hackers sont parvenus à mettre la main sur des milliers de chaînes, lesquelles ont soit été revendues soit utilisées pour lancer des scams financiers contre leurs abonnés.
Bien que Google explique travailler activement à réduire au maximum ce genre de menaces et affirme avoir restauré la majorité des chaînes compromises, cette campagne permet de comprendre pourquoi les bonnes pratiques en termes de cybersécurité sont importantes – sur YouTube ou ailleurs.
Comment ce scam sur YouTube a-t-il pu autant proliférer ?
YouTube n’a pas précisé qui était derrière cette attaque, mais le rapport explique que la campagne a monté son équipé sur un forum russe. Et bien que nous ne sachions pas précisément qui est derrière tout cela, nous savons que le groupe a utilisé des attaques de “vol de cookies”.
Contrairement à du phishing classique qui utilise de fausses pages de login, des liens malveillants ou d’autres techniques pour récupérer les identifiants, mots de passe et autres données personnelles, les attaques par vol de cookies ciblent les cookies que le navigateur enregistre lorsque vous êtes connecté(e).
Ces attaques demandent davantage d’efforts – et sont plus onéreuses – que les phishing traditionnels, et ne sont efficaces que si l’utilisateur reste connecté et ne supprime pas ses cookies avant que le hacker puisse utilise ledit cookie de connexion de son côté. Cependant, utiliser les cookies de session permet de contourner totalement le processus de connexion, rendant ainsi inopérant les protections comme l’authentification double facteur (2FA), les questions de sécurité ou les clefs USB de sécurité. Cela fait des attaques par vol de cookies des attaques extrêmement dangereuses et, quand on sait que YouTube a récemment rendu l’authentification double facteur obligatoire à tous les créateurs, il ne reste plus que ce type d’attaque comme option envisageable pour les pirates.
Contrairement à d’autres attaques de phishing et malwares, un vol de cookies réussi nécessite que l’utilisateur télécharge et installe des fichiers ou applications malveillantes sur son ordinateur. Pour ce faire, les hackers ont utilisé des techniques d’ingénierie sociale pour duper les victimes, en leur faisant croire à de faux, mais très convaincants, partenariats publicitaires.
Par exemple, certains de ces “partenariats” concernaient des VPN, des applications anti-virus ou des jeux vidéo que le YouTube avait demandé à “testé”. Une fois l’accord du YouTuber obtenu pour tester le produit en question, les hackers envoyaient des fichiers infectés pour collecter les cookies de login de la chaîne YouTube de l’utilisateur. Les fichiers étaient chiffrés pour pouvoir passer les potentiels anti-malware et anti-virus, rendant difficile leur interception avant d’arriver sur la machine de la victime.
Une fois les cookies en possession des hackers, ceux-ci pouvaient prendre le contrôle de la chaîne sans devoir utiliser l’identifiant ou le mot de passe. Ils pouvaient alors en faire ce qu’ils voulaient, le plus souvent, transmettre des arnaques financières aux abonnés de la chaîne, comme de fausses campagnes de dons, des publicités pour de fausses crypto-monnaies, etc. Dans certains cas, le groupe a revendu de petites chaînes à d’autres hackers pour des montants compris entre 3 et 4 000 $.
Comment assurer sa sécurité
Selon le rapport de Google, ses équipes ont “réduit le volume d’emails de phishing sur Gmail de 99,6 % depuis mai 2021” et bloqué pas moins de 1,6 million de messages, 62 000 pages de phishing et 2 400 fichiers malveillants. Les activités des hackers ont aussi été transmises au FBI.
Concernant les chaînes affectées, YouTube explique avoir restauré environ 4 000 comptes.
Une bonne nouvelle pour les victimes de cette arnaque, certes, mais ces chiffres illustrent l’importance et la dangerosité des campagnes de phishing. C’est pour cette raison que l’on ne peut que recommander d’utiliser l’authentification double facteur sur tous ses comptes. Pas uniquement sur YouTube, cela va sans dire.
Cette campagne particulière montre aussi qu’il est possible de contourner la sécurité double facteur – aucune mesure de cybersécurité n’est sûre à 100 % -. Cela étant dit, le 2FA rend la tâche bien plus difficile aux hackers, tout comme l’utilisation d’un mot de passe unique pour chaque compte. N’oubliez pas non plus d’effectuer régulièrement des scans de vos appareils et d’augmenter la sécurité de votre navigateur web. Le rapport de Google inclut par rapport une liste des noms de domaines utilisés pour cette campagne, à ajouter dans les listes à bloquer de votre navigateur et autres applications anti-malwares.
Source link
