Quand des gamins jouent (et se rémunèrent) avec vos comptes Netflix et Spotify piratés

Sécurité

Par Elodie le

Sur son blog, le community manager Eric Liégeois, alias Klaki, raconte par le menu comment une petite bande d’adolescents organisent des jeux concours sur Twitter avec vos comptes premium Netflix, Spotify, Minecraft ou Origin piratés en cadeau. Un marché noir lucratif et alimenté inlassablement.

Hook – 1991

Jeux concours, « RT+follow », vous tentez, vous perdez. À chaque fois. Ce que vous ne savez pas, c’est que d’autres internautes gagnent. Très souvent, si ce n’est systématiquement. Comment ? Grâce à quelques lignes de codes et un petit bot. D’autres, plus vicieux encore, organisent des jeux-concours douteux avec des prix qui le sont tout autant.

Intrigué, Klaki se lance dans l’aventure et après un mois de formation intensive au codage (programmation sur Python), il conçoit son propre bot et participe à quelque 9 500 concours sur Twitter (dont ceux du Journal du Geek), à base de « RT+follow », qui consiste à s’abonner au compte en question et retweeter la publication du concours pour participer).

Une communauté insoupçonnée

Il découvre alors un monde qu’il ne soupçonnait pas. Dans un long billet de blog, il explique comment ces personnes peu scrupuleuses (et respectueuses de l’orthographe) se rémunèrent et offrent des comptes premium à l’insu de leur véritable propriétaire.

Avec son bot, le jeune homme « a la win » : « places de ciné, de théâtre, de stade, une rencontre avec un gros rappeur actuel, des DVD, des produits dérivés, des trucs dédicacés, des jeux vidéo (plein), des goodies et d’autres trucs dont on va beaucoup reparler… », les fameux comptes piratés.

Typologie des lots :

  • des comptes Spotify premium,
  • des comptes Netflix premium,
  • des comptes Minecraft,
  • des comptes Uplay ou Origin,
  • des clés Steam,
  • des skins CS:GO,
  • de la thune pour Fortnite,
  • de la thune dite ”Paypal”

Car parmi les sociétés légitimes qui proposent des concours à leur communauté, d’autres comptes Twitter sont beaucoup plus opaques. Happé par le vortex, Klaki se rend compte qu’en plongeant dans « le monde merveilleux des ‘Digital influenceurs’ », il existe une véritable « communauté » d’organisateurs qui « sent le pyjama ». Comprendre, qui est très jeune. Des collégiens, des lycéens à en croire leur échange et publication sur Twitter, qui se font mutuellement de la publicité – tant qu’ils sont potes – et mentionnent et RT à tour de bras. La filiation n’a pas de limite tant qu’elle rapporte.

Minecraft, Netflix, Spotify, Fortnite

capture d’écran – Klakinoumi

Klaki joue et gagne parfois des comptes premium Spotify, Minecraft ou Netflix. Pas de banals codes promo ou mois offerts, non, un véritable compte avec adresse mail et mot de passe à la clé. Autrement dit, un compte piraté.

« On te fait littéralement gagner un compte. On ne te dit pas qu’il s’agit de celui de quelqu’un d’autre. Un quelqu’un qui paye pour ça… avec son argent à lui », s’étonne le CM.

Le jeune homme a même retrouvé la trace de ces propriétaires usurpés : « sur LinkedIn (notamment un mec consultant en sécurité informatique…), dans des comptes-rendus d’assemblée générale d’associations, dans un journal local… »

Données, données, données

Derrière ces comptes Twitter, des sites qui « génèrent » et revendent une multitude de comptes de Netflix à Origin en passant par Hulu, mais aussi un peu « tout et n’importe quoi » : mentions dans les concours organisés sur Twitter, clés Steam aléatoires, de la monnaie pour Fortnite (appelée Vbucks) et même des « méthodes Paypal » qui permettent de grappiller quelques euros en répondant à des questionnaires notamment.

Contacté par la rédaction du Journal du geek, Eric Liégeois nous précise que ces sites générateurs de comptes acceptent tout type de paiement : du bitcoin à la CB. Quand l’internaute lambda achète « naïvement » son petit compte premium piraté avec sa carte bleue (#facepalm), il leur fournit donc au passage ses propres données bancaires.

Décontractés du recel

Ce qui finit de l’achever, c’est la totale « décontraction » des personnes derrière ces comptes dont la petite entreprise ne connait pas la crise. En revendant ces comptes piratés, un certain Laiteuxxx, 14 ans, vivant en toute vraisemblance en Nouvelle-Calédonie, amasse entre 1300 à 2000 euros par mois. Sans doute « le plus malin » de tous pour Klaki. Cette communauté des organisateurs de concours « daubés » comprendrait quelque 27 000 membres. En 3 ans aucune arrestation n’aurait été dénombrée. De quoi donner des ailes à ces marchands de comptes.

Et pas besoin d’aller fouiller dans les tréfonds du Darknet pour avoir accès à ce type de données, tout se fait dans l’internet visible.

Pourquoi font-ils cela ? « Pour la fame et le blé », nous explique-t-il. Laiteuxxx et ses homologues n’hésitent pourtant pas à se parer de vertus et brandir un « code d’honneur ». Et gare à celui qui remettrait en cause leur marchandise ou trahirait la cause ! À l’image de cette vidéo clash de Laiteuxxx à Shazen autour du compte Twitter Altsfrance, géré par Laiteuxxx, décrit comme : « Anciennement leader du marché français de la vente de comptes depuis 2016 ».

“Que des mômes”

Même après la parution de l’article de Klaki, la vidéo et les comptes cités sont toujours actifs, cependant, le site Altsfrance n’est désormais plus accessible. Pour les comptes de jeux concours, lorsque ceux-ci atteignent une notoriété suffisante, c’est-à-dire un seuil followers suffisamment intéressant (à partir de 5000), certains sont tout bonnement revendus et changent radicalement de ligne édito et de pseudo. Comme ce qui s’opérait sur Facebook (et s’opère encore) et a valu leur exclusion de la plateforme à plusieurs médias comme Firerank ou MinuteFun, mais à laquelle Melty, Minute Buzz ou Cerise ont échappé.

À sa grande déception, Eric Liégois n’a pas débusqué de vil Blofeld derrière cette machinerie infernale, qui manipulerait de pauvres adolescents en manque de sensations fortes. Non, « Il n’y a. QUE. DES. MÔMES. »

Sidéré et pour que cesse ce phénomène Klaki s’est résolu à contacter Netflix et Spotify, pour les prévenir, juste au cas où… Du côté de Netflix, la réponse s’apparentait à : on est au courant, mais le problème ne vient pas de chez nous.

capture d’écran – Kalkinoumi

Alerte générale !

Certes, mais même sans fuite de données à proprement parler, ce sont tout de même des données utilisateurs jetées en pâture et détournées à des fins illégales. Avec tous les risques que l’ingénierie sociale fait peser derrière (phishing, usurpation d’identité, etc.). À l’heure du scandale Cambridge Analytica où Facebook a été vilipendé pour sa négligence coupable, cette inaction fait tache. D’autant que la mise en place d’une double authentification ou l’envoi d’une note incitant au renouvellement régulier d’un mot de passe est un grain de sable sur la plage ensoleillée de Netflix.

Mais le géant de la SVoD redoute plus que toute la « friction utilisateur » a confié le service presse de Netflix à Klaki, la complexité fantasmée de l’authentification à deux facteurs qui refroidirait les utilisateurs anciens ou à venir.

Klaki le concède lui-même, la date de publication de son article, le 24.04, n’est pas due au hasard, c’est un mois avant la mise en application du RGPD, de quoi signaler gentiment aux entreprises concernées qu’elles ont encore du travail à faire pour se mettre en conformité.

Netflix, Spotify et la CNIL prévenus

Contactée par ses soins, la CNIL n’a pas encore formulé de réponse officielle, ou même officieuse. Sans doute le temps de digérer l’information et préparer la parade.

Depuis, Spotify semble avoir sécurisé ses comptes en intégrant un captcha, à en croire le tweet de Laiteuxxx :

Comme nous l’a assuré Klaki, avec son article, le but n’est pas de « planter » ces services, ceux qui jouent à ces jeux concours ou ceux qui les organisent, mais simplement que cesse cette partie de jeu illégale qui se fait au détriment et à l’insu des internautes.

Sensibiliser à la sécurisation des données

Depuis la parution de son article, la messagerie de Klaki ressemble à « confessions intimes » : entre ceux qui font part de leur remords, ceux qui sont vexés de ne pas avoir été cités ou encore ceux qui règlent leurs comptes, ça balance à tous les étages.

Et comme il nous l’a confié : la plus grande découverte est à venir, « ce n’est pas fini, tout n’a pas été dit ».

En attendant, des solutions existent, toujours les mêmes : une bonne hygiène informatique. C’est-à-dire celle consistant à ne pas utiliser le même mot de passe pour plusieurs comptes, appliquer les correctifs et mises à jour logicielles, choisir des mots de passe complexes, mais aussi et surtout former et sensibiliser (éduquer dirons d’autres) les gens au B-a-ba de la sécurisation des données, notamment du côté des DSI des entreprises.

Pour vérifier si votre adresse mail n’a pas été compromise, vous pouvez toujours vous rendre sur ce site haveibeenpwned.com.

L’article d’Eric Liégeois est à retrouver dans son intégralité sur klakinoumi.com