Au fil des années, YouTube, 2ème moteur de recherche derrière Google, n’a pas faibli en popularité : bien au contraire, avec près de 2,5 milliards d’utilisateurs actifs qui s’y rendent au quotidien pour suivre les vidéos des créateurs de contenu qu’ils apprécient, écouter des podcasts ou regarder des interviews, consulter des vidéos virales et Shorts… Cette masse d’utilisateurs attire à la fois les annonceurs, mais également les personnes malveillantes, qui détournent l’usage de la plate-forme de vidéo leader dans le monde pour attirer des internautes dans leurs pièges en ligne.
Comment, à travers des campagnes de phishing, de pubs malveillantes et d’arnaques aux crypto-monnaies, YouTube est devenu le terrain de jeu préféré des hackers ? Quelles méthodes sont utilisées par les hackers pour vous cibler ? On fait le point à ce sujet.
Les techniques de phishing et d’ingénierie sociale sur YouTube
YouTube, avec ses 70 milliards de vues quotidiennes sur ses shorts, est devenu une cible de choix pour les cybercriminels. Les attaques se multiplient et prennent des formes de plus en plus sophistiquées. Nous allons lister certaines de ces menaces et vous indiquer comment vous protéger.
Les hackers utilisent des campagnes de phishing sophistiquées pour tromper les créateurs de contenu YouTube… et pouvoir prendre le contrôle de leur chaîne YouTube. Ils envoient des e-mails personnalisés proposant des collaborations attrayantes, mais fictives. Une fois la confiance établie, ils fournissent des liens vers des logiciels malveillants déguisés en outils professionnels. Ces logiciels volent souvent des données sensibles, comme les cookies ou les identifiants de connexion… permettant ainsi aux hackeurs d’accéder au compte du Youtubeur.
Une autre méthode couramment employée consiste à compromettre les descriptions des vidéos. Les pirates y insèrent des liens malveillants qui semblent être des téléchargements légitimes de logiciels. Les utilisateurs, pensant télécharger des programmes liés aux jeux ou à la productivité, installent en réalité des logiciels malveillants sur leurs appareils.
Les hackers prennent également le contrôle de chaînes YouTube populaires via des attaques de phishing ou des logiciels malveillants. Une fois la prise de contrôle effectuée, grâce aux techniques de deepfakes, il est facile de créer de nos jours une vidéo se faisant passer par le Youtubeur, et lui faire promouvoir un produit ou service illégal voire une arnaque. Quand les hackeurs prennent le contrôle d’une chaîne YouTube, ils l’utilisent ensuite pour promouvoir par exemple des escroqueries aux crypto-monnaies, comme de faux cadeaux nécessitant un dépôt initial de la part des victimes.
La stratégie et le modèle économique de YouTube : une aubaine pour les cybercriminels
Le modèle économique de YouTube, basé sur la publicité automatisée et le contenu généré par les utilisateurs, offre un terrain propice pour les cybercriminels. La nature dynamique de la plateforme, avec un flux constant de nouvelles vidéos, complique la tâche de filtrage efficace des contenus malveillants.
À noter également que les pirates exploitent les mécanismes d’optimisation des moteurs de recherche (SEO) pour promouvoir des vidéos et les téléchargements automatisés pour augmenter la visibilité de leurs contenus nuisibles. Les algorithmes de recommandation, basés sur l’activité des utilisateurs, peuvent parfois promouvoir des vidéos trompeuses contenant des liens dangereux.
Les commentaires des utilisateurs peuvent également être manipulés. Les cybercriminels publient des messages vantant de faux bons plans pour attirer les victimes vers des liens malveillants. Ces commentaires, souvent bien placés, exploitent la confiance des utilisateurs et les mécanismes de recommandation de YouTube. La plate-forme en a bien conscience, et pour protéger la jeune génération, YouTube a récemment décidé de proposer une option de lecture seule dans les commentaires des vidéos, empêchant les enfants de pouvoir commenter ou échanger avec des inconnus par le biais de l’espace de discussion sous chaque vidéo.
Comment se protéger contre les menaces sur YouTube ?
Pour éviter de tomber dans les pièges tendus par les cybercriminels sur YouTube, il faut avant tout rester vigilant et suivre certaines pratiques de sécurité. Ne cliquez jamais sur des liens dans des e-mails non sollicités, même s’ils semblent provenir de sources fiables. Vérifiez toujours l’authenticité de l’expéditeur avant de répondre ou de télécharger quoi que ce soit.
Soyez attentif aux descriptions des vidéos, ne cliquez pas sur les liens présents, et privilégiez de vous rendre directement sur le site officiel du produit ou service en question, et surtout évitez de télécharger des logiciels à partir de liens suspects. Préférez toujours les sites officiels pour les téléchargements. Enfin, utilisez des antivirus et maintenez vos logiciels à jour pour vous protéger contre les menaces potentielles.