Piratage de Youtube : modification malveillante de comptes d’artistes

Posted On 10 Avr 2018

Tag: Akashi, infiltration, Kuroi'SH, prosox, youtube

Piratage de Youtube ? Voilà la rumeur qui s’étend chez les adolescents présents sur le web. Un message pirate s’est retrouvé affiché dans les pages de clips de Maître Gims, Lacrim, Vald, Drake …

Piratage ou pas piratage de Youtube ? Non, il s’agit de la manipulation des titres de clips diffusés par Vevo, un partenaire de la filiale de Google. Le bidouilleur, un jeune homme de 18 ans de la région de Grenoble [Prosox], a pu manipuler ce mardi 10 avril (vers 10 heures), les titres des vidéos diffusées via le compte Youtube de Vevo. Une modification restée en ligne quelques minutes. Le visiteur n’a pu changer les clips ou afficher des liens malveillants. Seul le changement des titres étaient possibles avec son 0day et son script.

Lors de cette manipulation, le vidéo clip Despacito, 5 milliards de diffusions a disparu de Vevo avant de revenir sur le devant de la scène. A première vue, une mauvaise manipulation. Des clips de Selena Gomez, Shakira ou encore Taylor Swift, Maître Gims, Lacrim, Vald, Drake ont affiché différents messages du pirate et de ses amis.

But affiché par cette « cyberattaque » ?

Pourquoi une telle manipulation ? D’autant que le jeune homme et ses amis ont déjà rencontré les autorités pour d’autres actes pirates. Il indique vouloir manifester, lui et ses amis Kuroi’sh, Akashi IT et KiraRoot, pour la Palestine. On trouve aussi des messages pour le jeu Fortnite, … Selon les clips, le « pirate » a affiché son pseudonyme et celui de ses « potes ». Kuroi’sh (Il signe aussi sous d’autres pseudonymes tels que asdf, asfd, shg_amar, amar_shg, irbl00d) est connu pour d’autres actions malveillantes. Le jeune Tarbois a déjà croisé le police, voilà plusieurs mois. Bref, des adolescents !

Le pirate (et non pas hacker, Ndr) derrière cette manipulation n’est pas à son coup d’essai. En 2016, il avait caché une page dans l’espace blog de SoundCloud. Plusieurs espaces affiliés à la NASA avaient été maltraités en 2015. Une cyberattaque qui avait lancé le FBI aux trousses du jeune francophone.

Pas une première pour Youtube

Le « bug » employé ressemble fort à celui qui avait permis, voilà 3 ans, à un Russe de gagner 5 000 $. Kamil Hismatullin avait trouvé comment manipuler des requêtes vers Youtube. Un petit XSS, et un script. Il suffisait d’envoyer une requête en fournissant la vidéo à effacer, ainsi qu’une clé token d’identification et la vidéo disparaissait.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.