Hacking

Une mafia de gamins de 15 ans alimente un marché noir de comptes volés

L’investigation a été menée par Klakinoumi sur des concours organisés sur Twitter. Klakinoumi dit avoir participé entre octobre 2017 et mi-janvier 2018 à environ 9500 concours sur Twitter et n’avoir remporté que des lots insignifiants comme : des places de cinéma, de théâtre, de stade, une rencontre avec un gros rappeur actuel, des DVD, des jeux vidéo (une panoplie), etc. Et quelques fois des logins et mots de passe pour les comptes Spotify et Netflix.

Klakinoumi met à disposition le schéma ci-dessous représentant les comptes auxquels il s’est abonné pour participer aux concours. Chaque trait entre deux comptes indique un abonnement de l’un vers l’autre. Chaque couleur représente une « communauté ». En gros, les comptes sont regroupés par interconnexion.

 

  • En violet/rose : l’univers du sport ;
  • En bleu : l’univers du spectacle ;
  • En orange : l’univers du high-tech et du jeu ;
  • En vert : le monde merveilleux des organisateurs de concours professionnels.

Le monde des organisateurs de concours (en vert) est celui sur lequel Klakinoumi partage son expérience.

Certains comptes organisent plusieurs dizaines de concours par semaine. Beaucoup de ces comptes sont jeunes, soit entre six mois et un an. En dehors des concours, sur leur timeline (représentation graphique d’une série d’événements dans un ordre chronologique) publique et même lors des échanges qu’il a pu avoir avec eux, il en ressort un profil souvent jeune, lycéen ou collégien disant envoyer les lots une fois sortis des cours. On y trouve aussi quelques jeunes youtubeurs gaming, des chaînes sans intérêt, globalement peu fournies où des gens jouent aux hits du moment sans valeur ajoutée. « Bref, ça sent le pyjama comme on dit », dit Klakinoumi.

Les lots en question sont souvent des comptes « usurpés » premium de Spotify ou de Netflix, des comptes Minecraft, des comptes Uplay ou Origin, etc. Lorsque vous êtes novice et ignorant, ces annonces de concours pour des comptes premium Spotify et Netflix sont vraiment éblouissantes, car on se dit c’est légal. Pourtant, une fois que tu réussis au concours, on t’envoie des logins et mots de passe piratés des comptes légaux.

 

 

Ayant découvert cette berne, Klakinoumi a décidé de chercher sur Internet les adresses électroniques des logins qu’il a gagnés. Dans l’immense majorité des cas, il retrouve les propriétaires de ces comptes sur linkedin, dans des comptes-rendus d’assemblée générale d’associations, etc.

Ce qui arrive à ces personnes dont les logins et mots de passe se retrouvent détournés peut arriver à n’importe qui. Il suffit d’une minute d’inattention pour saisir un mot de passe où il ne faut pas. Pour celui qui n’utilise jamais le même mot de passe sur deux services, il minimise le risque d’être piraté. Beaucoup le font déjà. Mais beaucoup ce n’est pas la majorité. Certains devront toujours se souvenir du nom de leur chat au moment de se loguer. « C’est dramatique, mais c’est comme ça », a déclaré Klakinoumi.

Les informations que nous mettons en ligne ont une valeur de plus en plus importante. Sacrifier la sécurité de nos données au nom d’une meilleure expérience utilisateur, ce n’est plus possible. « Mais ça, il faut que ça vienne de nous. Il faut interpeller les services qui ne sécurisent pas l’accès à nos comptes comme il le faudrait, sur Twitter, sur Facebook… en leur demandant de prendre les mesures préventives nécessaires à la protection de toutes les données que nous leur confions », déclare Klakinoumi.

Source : klakinoumi

Comment here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrench
en_USEnglish fr_FRFrench