Piratage de Youtube : modification malveillante de comptes d’artistes

Piratage de Youtube ? Voilà la rumeur qui s’étend chez les adolescents présents sur le web. Un message pirate s’est retrouvé affiché dans les pages de clips de Maître Gims, Lacrim, Vald, Drake …

Piratage ou pas piratage de Youtube ? Non, il s’agit de la manipulation des titres de clips diffusés par Vevo, un partenaire de la filiale de Google. Le bidouilleur, un jeune homme de 18 ans de la région de Grenoble [Prosox], a pu manipuler ce mardi 10 avril (vers 10 heures), les titres des vidéos diffusées via le compte Youtube de Vevo. Une modification restée en ligne quelques minutes. Le visiteur n’a pu changer les clips ou afficher des liens malveillants. Seul le changement des titres étaient possibles avec son 0day et son script.

Lors de cette manipulation, le vidéo clip Despacito, 5 milliards de diffusions a disparu de Vevo avant de revenir sur le devant de la scène. A première vue, une mauvaise manipulation. Des clips de Selena Gomez, Shakira ou encore Taylor Swift, Maître Gims, Lacrim, Vald, Drake ont affiché différents messages du pirate et de ses amis.

But affiché par cette « cyberattaque » ?

Pourquoi une telle manipulation ? D’autant que le jeune homme et ses amis ont déjà rencontré les autorités pour d’autres actes pirates. Il indique vouloir manifester, lui et ses amis Kuroi’sh, Akashi IT et KiraRoot, pour la Palestine. On trouve aussi des messages pour le jeu Fortnite, … Selon les clips, le « pirate » a affiché son pseudonyme et celui de ses « potes ». Kuroi’sh (Il signe aussi sous d’autres pseudonymes tels que asdf, asfd, shg_amar, amar_shg, irbl00d) est connu pour d’autres actions malveillantes. Le jeune Tarbois a déjà croisé le police, voilà plusieurs mois. Bref, des adolescents !

Le pirate (et non pas hacker, Ndr) derrière cette manipulation n’est pas à son coup d’essai. En 2016, il avait caché une page dans l’espace blog de SoundCloud. Plusieurs espaces affiliés à la NASA avaient été maltraités en 2015. Une cyberattaque qui avait lancé le FBI aux trousses du jeune francophone.

Pas une première pour Youtube

Le « bug » employé ressemble fort à celui qui avait permis, voilà 3 ans, à un Russe de gagner 5 000 $. Kamil Hismatullin avait trouvé comment manipuler des requêtes vers Youtube. Un petit XSS, et un script. Il suffisait d’envoyer une requête en fournissant la vidéo à effacer, ainsi qu’une clé token d’identification et la vidéo disparaissait.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.