Sur son blog, Éric Liégeois (alias Klaki) explique en détail « comment en participant à 9 500 concours sur Twitter [il a] gagné vos comptes premium » sur Spotify, Netflix, Minecraft, Uplay, Origin, etc.
Après avoir développé un bot Twitter, il enchaîne les participations (automatiques) et finit par gagner « une péta-chiée de lots »… dont certains surprenants, pour rester poli. « On te fait littéralement gagner un compte. On ne te dit pas qu’il s’agit de celui de quelqu’un d’autre. Un de quelqu’un qui paye pour ça… Avec son argent à lui », explique-t-il. Il s'est d'ailleurs lancé à la recherche des propriétaires légitimes et, « dans l’immense majorité » les a retrouvés.
Son enquête l'a ensuite amené à se pencher sur les mécaniques derrière ce genre de concours, leur organisateur et les générateurs de compte : « Tu cliques sur le nom du service pour lequel tu veux un compte premium, et on te file un login et un mot de passe. Et si dans deux heures il ne fonctionne plus, tu reviens en prendre un autre. Pouf pouf. L’hallu est totale ».
Eric Liégeois a contacté deux services (Spotify et Netflix). En substance, leur réponse était la suivante : « On est au courant de ces pratiques, on lutte contre mais le problème ne vient pas de chez nous, quand on a un doute on contacte les clients concernés ». En effet, il ne s'agit pas d'identifiants et mots de passe récupérés sur leur base de données, mais d'une autre manière.
Insuffisant pour le blogueur : « Des mecs testent des logins sur ces services, et quand ils fonctionnent, la valeur de ces logins augmente. Et donc leur diffusion. Et c’est ça le vrai problème : y a des millions de logins dans la nature. La plupart ne servent à rien. Mais à la seconde où ils fonctionnent sur un service payant de ce genre, la cash machine démarre. Et les comptes, ainsi que les informations qu’ils contiennent de facto, sont jetés en pâture pour une bouchée de pain. Et quand on n’est pas trop un manche en social engineering, on peut quand même en faire deux trois trucs, même avec un numéro partiel de carte de crédit… ».
Une solution pour limiter la casse serait de pousser la double authentification. Dans tous les cas, c'est également l'occasion de rappeler l'importance de bien gérer ses mots de passe et de les changer au moindre soupçon de fuite. Un gestionnaire (voir notre dossier) peut vous aider à les « rafraîchir » rapidement et.ou de manière régulière.
Commentaires (14)
#1
Excellent, vraiment excellent article. J’aimerais qu’il y ait un suivi de votre part pour connaitre la suite
#2
L’article est super et la version podcast est également très propre, foncez lire/écouter ça
" />
#3
What the hell did I just read ? 
" />
C’est impressionnant !
#4
Han putain ! <3 sur vous les inpactiens :)
#5
J’ai commencé à lire, super interessant, ça va me faire ma journée
" />
#6
Super article d’Eric !
(Au passage je vérifie Have I Been Powned comme je fais de temps à autre, bordel, un clavier Android testé y a des années a lâché des infos il y a 4 mois, fait chier)
#7
Rien de surprenant,il y a 10-15 ans déjà des ados de 15 ans (dont je faisais partie) faisaient ce genre de choses autour du warez, des pages de pubs (à base de clique sur mes pubs je clique sur les tiennes) de la vente de comptes volés (WoW, Megaupload, Rapidshare, etc.) et les mélodrames et autres pseudos codes de l’honneur étaient identiques.
Le vrai sport national c’était les pubs et les faux clics via des bots ou l’échange de clics. Avec le recul, les plus grands gagnants de ce système étaient les régies qui voyaient tout ça, mais ça les arrangeait des refacturer ces faux clics ou affichages à leurs clients. De temps en temps ils passaient un coup de filet pour la forme en gelant les comptes mais c’était de la mascarade.
C’était peut-être juste un peu moins industrialisé qu’aujourd’hui, mais y avait moyen de se faire quelques centaines d’euros de revenus facilement et pour un gamin de 14-15 c’est le paradis.
#8
Je pense que c’était encore pire dans le sens ou à l’époque la sécurité était clairement pas là même… Aujourd’hui pour concevoir un outil de ce type il faut toucher sa bille, investir beaucoup de temps car c’est une course face aux entreprises…
Je me souviens des comptes Mega et compagnie… Tu te connectais sur les bon sites et les bonnes bases et tu avais des mises à jours toutes les 30 minutes
#9
Ce qui est assez grave, c’est que Netflix encourage assez largement le partage de compte (cf. l’animation de leur page Facebook…).
Donc qui dit partage de compte, dit circulation de login / mdp entre personnes (avec des identifiants utilisés en général sur tous les autres services de la personne).
#10
C’est rigolo, quand t’organises des concours honnêtes, tu râles de voir toute la triche systématique, les mecs qui s’inscrivent des milliers de fois en automatique, utilisent des scripts pour faire des bons scores, s’échangent des parrainages et des votes pour augmenter leurs chances… Dans ma boite, on a déjà eu un participant qui a réussi à répondre tout juste à un quizz chronométré de
20 questions, en seulement 4sec, alors que les écrans intégraient entre chaque question une
transition d’au moins 1sec !
A voir cet article, c’est pas toujours mieux du côté des organisateurs. Au final, un joueur ne sait pas à qui il s’adresse, un organisateur ne sait pas à quel joueur il s’adresse… Ce milieu est donc bien pourri de bout en bout !
Mais le gain facile et l’argent rapide restent bon vendeurs sur le net, sinon les héritiers de pays étrangers et les tombolas Microsoft pour te faire gagner 10 millions de bitcoins “grâce à un tirage au sort parmi toutes les adresses emails intergalactiques” auraient disparus depuis longtemps de nos boites mails…
#11
Pour Netflix, c’est un peu normal, puisque tu as le droit à plusieurs flux simultanés. Personnellement, ne regardant pas 4 séries en même temps, mon compte est partagé avec plusieurs membres de ma famille.
Il est vrai que j’aurais préféré un système comme Spotify famille où chaque utilisateur a son propre compte mais ce n’est pas la cas avec Netflix …
#12
j’ai déjà eu mon compte spotify “piraté” peut-être via ces méthodes (je sais que j’ai un log+pswd qui traine dans les bdd piratée que j’utilisais depuis 1998, j’ai quasiment remplacé tous les mdp des services concernés), j’ai pas cherché en moins de 30 secondes, changer le mdp et déconnecter tous les appareils connectés à ce compte, je m’en suis rendu compte quand la musique s’est coupée et que le “en écoute sur” était un appareil que je ne connaissais pas, au lieu de “pirater” quand je ne m’en sert pas, en toute discrétion.
#13
#14