Une nouvelle escroquerie se propage sur YouTube, où des chaînes sont piratées afin de diffuser des vidéos d’Elon Musk accompagnées d’une arnaque aux cryptomonnaies. Une des dernières en date est l’une des plus grosses chaînes de contenus high-tech de YouTube, LinusTechTips.


au sommaire


    Une arnaque aux cryptomonnaies est très présente sur YouTube depuis quelque temps, et a gagné en notoriété en fin de semaine dernière lorsque LinusTechTips, une des plus grosses chaînes high-tech a été affectée, obligeant le site à désactiver le compte quelques heures.

    L'arnaque se présente sous la forme d'une diffusiondiffusion en direct que l'utilisateur voit apparaître dans ses recommandations comme n'importe quelle autre vidéo. Il s'agit d'une discussion entre Elon MuskElon Musk, le patron de TeslaTesla, et d'autres personnes, le plus souvent sur le sujet du Bitcoin ou de l'intelligence artificielle. La vidéo est diffusée par la chaîne Tesla Company, ou un nom similaire, qui peut avoir jusqu'à plusieurs millions d'abonnés, et plusieurs milliers de personnes qui regardent en direct.

    Une chaîne a été piratée et renommée en Tesla Company afin de diffuser une ancienne vidéo d’Elon Musk avec un lien (qui n’est plus fonctionnel) dans la conversation qui renvoie vers une arnaque aux cryptomonnaies. © Capture Futura
    Une chaîne a été piratée et renommée en Tesla Company afin de diffuser une ancienne vidéo d’Elon Musk avec un lien (qui n’est plus fonctionnel) dans la conversation qui renvoie vers une arnaque aux cryptomonnaies. © Capture Futura

    De l’argent gratuit en cryptomonnaies

    Jusqu'à présent, tout semble normal, il s'agirait d'une banale vidéoconférence avec le milliardaire. Toutefois, la vidéo n'est en réalité pas en direct, mais une rediffusion d'une vidéo qui a plusieurs mois. La plupart des visionnages en cours et les likes sur la vidéo sont l'œuvre de bots et non d'autres utilisateurs. Mais jusque-là, la vidéo ne présente pas de danger. L'arnaque se trouve dans la discussion, qui semble ouverte mais qui est en réalité limitée de manière à empêcher tout commentaire. Ainsi, le seul texte visible est un lien vers un site externe. Ce site explique que pendant un temps limité, si vous envoyez des bitcoins, Elon Musk vous rendra le double. Pour être un peu plus convaincant, il affiche aussi une liste de transactions récentes. C'est bien entendu trop beau pour être vrai, et si vous envoyez de l'argentargent, vous ne recevrez rien en retour.

    Toutefois, ce n'est que la moitié de l'histoire. L'arnaque est efficace car YouTube recommande les vidéos, et les chaînes ont quelques milliers à plusieurs millions d'abonnés. Ce ne sont pas de nouvelles chaînes créées pour l'arnaque, mais des chaînes légitimes qui ont été piratées, comme ce qui est arrivé la semaine dernière à LinusTechTips, qui a plus de 15 millions d'abonnés. Le hacker contacte la chaîne YouTubeYouTube visée avec une fausse offre partenaire, dont les détails sont « dans le PDF joint ». Les youtubeursyoutubeurs reçoivent assez fréquemment des offres légitimes de cette manière. Ici, la pièce jointe contient un malware, le plus souvent « RedLine Stealer ». Celui-ci vole le cookie de session pour YouTube dans le navigateurnavigateur, un petit fichier qui évite de devoir s'identifier à chaque fois que l'on se rend sur le site.

    Le site contenant l’arnaque avec la « plus grande distribution de cryptomonnaie » associée à la photo du milliardaire Elon Musk. © Capture Futura
    Le site contenant l’arnaque avec la « plus grande distribution de cryptomonnaie » associée à la photo du milliardaire Elon Musk. © Capture Futura

    Un accès sans mot de passe en contournant toute la sécurité du compte

    Muni de ce cookie, le hacker peut accéder à la chaîne YouTube et modifier les paramètres, sans avoir besoin ni du mot de passemot de passe ni du code pour l'authentification à deux facteursauthentification à deux facteurs, contournant toute la sécurité du compte. Il peut directement obtenir l'accès au compte de la chaîne YouTube, mais dans le cas de LinusTechTips, le cookie de session appartenait à un compte d'un employé qui était autorisé à gérer la chaîne. Le hacker modifie ensuite le nom de la chaîne ainsi que le logo, et lance la diffusion de la vidéo d'Elon Musk. À aucun moment le site ne lui demande de confirmer son identité avec le mot de passe. Le hacker peut ensuite supprimer toutes les vidéos précédentes afin de paraître plus légitime. Même si le propriétaire récupère sa chaîne, il risque de mettre un certain temps à tout restaurer et à récupérer l'audience perdue.

    Le plus inquiétant est l'incapacité de YouTube à contrer ce genre d'attaque. À tout moment, une simple recherche des termes « Tesla live » permet de découvrir plusieurs chaînes piratées avec des diffusions en cours, montrant que la situation semble échapper complètement au site. En attendant une solution, méfiez-vous des pièces jointes ainsi que des offres d'argent gratuit, et encore plus s'il s'agit de cryptomonnaies...