Des gamins piratent vos comptes et données et ce n’est pas près de changer

Sécurité

Par Elodie le

L’enquête du community manager Éric Liégois, aka Klaki, avait fait grand bruit. Il expliquait alors comment une bande d’adolescents (présumés) organisaient des concours sur Twitter avec pour lots des comptes Netflix, Spotify, Minecraft piratés, quand ils ne géraient pas des sites générateurs de comptes qu’ils vendaient ou offraient ensuite selon leur bon vouloir. Alertés, les services concernés estiment que la sécurité de leurs outils n’est pas en cause et les autorités font la sourde oreille.

Hook

En avril dernier, nous vous racontions comment, intrigué par les concours RT+Follow qui pullulent sur Twitter, Klaki avait découvert une communauté d’organisateurs adolescents offrant, sur concours, des comptes premium piratés (adresse mail et mot de passe à la clé) pour une flopée de service : Netflix, Pornhub, Steam, Hulu, Spotify, etc. Des centaines de milliers de comptes provenant d’utilisateurs qui paient leur obole et ne se doutent de rien.

Après plusieurs mois d’enquête et la publication de son article, il reçoit des torrents de témoignages d’acteurs du système dans ces DM en mode « Confessions intimes ». Il se rend vite compte qu’il ne s’agit que de la pointe émergée de l’iceberg. À côté, le premier volet de son enquête, « c’est du lol en barre ». En effet, Twitter n’est que l’arbre qui cache la forêt.

On n’est pas sérieux quand on a 14 ans

Réunie sur Discord, cette petite communauté, s’échange, vend et donne un peu tout et n’importe quoi pourvu qu’on leur demande gentiment.

L’un des premiers à se confier, Steve (un pseudo), 17 ans, 4 mois sur Discord et 1 mois tout juste de « crack » (pas la drogue, le piratage, hein), raconte qu’il existe au moins 20 Discord de leak de comptes : avec un simple logiciel (privé) et 10 comptes, il a réussi à récupérer 750 000 comptes en 20 minutes. Comment ? En scannant des bases de données de sites comprenant des fautes de codes, leur permettant ainsi de récupérer tous les login des personnes s’y étant connectées.

Sur Discord, il a aussi réussi à récupérer « un véritable arsenal de checker » de comptes (ou vérificateur de comptes de VF), c’est-à-dire un bot qui teste une série d’email et de mot de passe pour vérifier leur validité. Sur simple demande, il a ainsi pu obtenir des checker de comptes Netflix, Spotify, Minecraft, Steam ou encore Pornhub. Tout ça sur le dos des abonnés à ses différents services qui paient pour qu’une autre personne utilise son compte.

CB, DOX, cryptomonnaie, comptes piratés pour la “fame”

Mais ce n’est pas tout, entre les DOX – le fait de publier des informations privées de quelqu’un sur Internet – balancés sur les uns ou les autres et les CB reliées à leur site (c’est-à-dire fournie par un utilisateur lorsqu’il achète leur quelque chose par exemple) vendues, si ce n’est données à la volée, cette joyeuse bande est décomplexée du délit.

Le plus jeune aurait 12 ans et le plus vieux 45 ans, mais aucun ne semble véritablement prendre conscience de la portée de leurs actes. Leur petite entreprise se rend tout de même coupable de vol, recel et usurpation d’identité. Du pénal donc, avec le risque de finir en prison. Pourtant, en trois ans, sur une communauté de 27 000 personnes (tout de même) il n’y aurait eu aucune arrestation selon les membres et administrateurs de ces Discord. De quoi jouer la « fame » jusqu’au bout.

Tout juste l’administrateur du Discord évoqué a vu son compte supprimé par le modérateur de la plateforme qui semble faire son travail. Depuis, ce groupe est laissé à l’abandon, mais le butin est toujours là et les autres Discord fonctionnent à plein régime : CB, compte premium Pornhub, ebook, compte de places d’échange de cryptomonnaie (CoinPot en l’occurrence) avec login, mot de passe et solde de compte et même un compte de fidélité d’une compagnie aérienne pour voyager à l’œil avec les miles accumulés (environ 18 000 miles).

Des autorités peu concernées

À en croire la douzaine de personnes qui s’est confiée à Klaki, ils ne font pas ça pour s’enrichir, mais pour la gloire (se distinguer ou briller auprès des autres), financer leurs « projets » ou améliorer leur matériel informatique. Matériel qu’ils utiliseront ensuite pour pirater et arnaquer en ligne. D’ailleurs, la plupart n’ont pas l’impression d’arnaquer qui que ce soit puisqu’ils livrent des comptes fonctionnels. Que ces comptes appartiennent à des internautes qui n’ont aucune conscience de ce qui se trame dans leur dos, c’est une autre histoire. La plupart assurent également qu’ils assumeront leurs actes, si tant est que la justice s’en mêle, et qu’ils ont arrêté ou vont arrêter « leurs conneries ».

Au train où vont les choses, ce ne sont pas les autorités qui risquent de les inquiéter. Alertée, la CNIL estime qu’elle n’est pas dans son rôle, car les acteurs en cause ne sont pas des sociétés établies contre laquelle elle pourrait se retourner. Pour la commission cela relève de la Justice. Quant à savoir si elle pourrait au moins sonner les cloches de Netflix, Spotify & Co concernant la manière toute relative dont ces plateformes protègent les comptes et données de ces membres, la Commission a préféré ne pas s’exprimer sur la question.

To be continued…

Le Parquet a bien été prévenu, mais Éric Liégois n’a eu, pour l’instant, aucun retour, de quelque nature que ce soit. Netflix de son côté n’a pas bougé d’un iota depuis le premier volet de l’affaire, considérant sans doute qu’il s’agit plus d’un épiphénomène qu’un piratage de grande envergure. Sans la gronde de plusieurs centaines, voire milliers, d’abonnés piratés, l’entreprise ne mettra jamais en œuvre une double authentification qui ruinerait l’expérience utilisateur souhaitée par Netflix, à savoir fluide, agréable et sans contrainte. Spotify a bien mis en place un catcha qui complique un tantinet l’automatisation des checkers de comptes, mais les érudits ont vite fait de le cracker.

La seule sanction connue à ce jour et celle dispensée par les parents d’un des ados de la communauté Discord. La sentence ? Un mois sans ordinateur. Et roulez jeunesse !