En avril dernier, nous vous racontions comment, intrigué par les concours RT+Follow qui pullulent sur Twitter, Klaki avait découvert une communauté d’organisateurs adolescents offrant, sur concours, des comptes premium piratés (adresse mail et mot de passe à la clé) pour une flopée de service : Netflix, Pornhub, Steam, Hulu, Spotify, etc. Des centaines de milliers de comptes provenant d’utilisateurs qui paient leur obole et ne se doutent de rien.
Après plusieurs mois d’enquête et la publication de son article, il reçoit des torrents de témoignages d’acteurs du système dans ces DM en mode « Confessions intimes ». Il se rend vite compte qu’il ne s’agit que de la pointe émergée de l’iceberg. À côté, le premier volet de son enquête, « c’est du lol en barre ». En effet, Twitter n’est que l’arbre qui cache la forêt.
On n’est pas sérieux quand on a 14 ans
Réunie sur Discord, cette petite communauté, s’échange, vend et donne un peu tout et n’importe quoi pourvu qu’on leur demande gentiment.
L’un des premiers à se confier, Steve (un pseudo), 17 ans, 4 mois sur Discord et 1 mois tout juste de « crack » (pas la drogue, le piratage, hein), raconte qu’il existe au moins 20 Discord de leak de comptes : avec un simple logiciel (privé) et 10 comptes, il a réussi à récupérer 750 000 comptes en 20 minutes. Comment ? En scannant des bases de données de sites comprenant des fautes de codes, leur permettant ainsi de récupérer tous les login des personnes s’y étant connectées.
Sur Discord, il a aussi réussi à récupérer « un véritable arsenal de checker » de comptes (ou vérificateur de comptes de VF), c’est-à-dire un bot qui teste une série d’email et de mot de passe pour vérifier leur validité. Sur simple demande, il a ainsi pu obtenir des checker de comptes Netflix, Spotify, Minecraft, Steam ou encore Pornhub. Tout ça sur le dos des abonnés à ses différents services qui paient pour qu’une autre personne utilise son compte.
CB, DOX, cryptomonnaie, comptes piratés pour la “fame”
Mais ce n’est pas tout, entre les DOX – le fait de publier des informations privées de quelqu’un sur Internet – balancés sur les uns ou les autres et les CB reliées à leur site (c’est-à-dire fournie par un utilisateur lorsqu’il achète leur quelque chose par exemple) vendues, si ce n’est données à la volée, cette joyeuse bande est décomplexée du délit.
Le plus jeune aurait 12 ans et le plus vieux 45 ans, mais aucun ne semble véritablement prendre conscience de la portée de leurs actes. Leur petite entreprise se rend tout de même coupable de vol, recel et usurpation d’identité. Du pénal donc, avec le risque de finir en prison. Pourtant, en trois ans, sur une communauté de 27 000 personnes (tout de même) il n’y aurait eu aucune arrestation selon les membres et administrateurs de ces Discord. De quoi jouer la « fame » jusqu’au bout.
Tout juste l’administrateur du Discord évoqué a vu son compte supprimé par le modérateur de la plateforme qui semble faire son travail. Depuis, ce groupe est laissé à l’abandon, mais le butin est toujours là et les autres Discord fonctionnent à plein régime : CB, compte premium Pornhub, ebook, compte de places d’échange de cryptomonnaie (CoinPot en l’occurrence) avec login, mot de passe et solde de compte et même un compte de fidélité d’une compagnie aérienne pour voyager à l’œil avec les miles accumulés (environ 18 000 miles).
Des autorités peu concernées
À en croire la douzaine de personnes qui s’est confiée à Klaki, ils ne font pas ça pour s’enrichir, mais pour la gloire (se distinguer ou briller auprès des autres), financer leurs « projets » ou améliorer leur matériel informatique. Matériel qu’ils utiliseront ensuite pour pirater et arnaquer en ligne. D’ailleurs, la plupart n’ont pas l’impression d’arnaquer qui que ce soit puisqu’ils livrent des comptes fonctionnels. Que ces comptes appartiennent à des internautes qui n’ont aucune conscience de ce qui se trame dans leur dos, c’est une autre histoire. La plupart assurent également qu’ils assumeront leurs actes, si tant est que la justice s’en mêle, et qu’ils ont arrêté ou vont arrêter « leurs conneries ».
Au train où vont les choses, ce ne sont pas les autorités qui risquent de les inquiéter. Alertée, la CNIL estime qu’elle n’est pas dans son rôle, car les acteurs en cause ne sont pas des sociétés établies contre laquelle elle pourrait se retourner. Pour la commission cela relève de la Justice. Quant à savoir si elle pourrait au moins sonner les cloches de Netflix, Spotify & Co concernant la manière toute relative dont ces plateformes protègent les comptes et données de ces membres, la Commission a préféré ne pas s’exprimer sur la question.
To be continued…
Le Parquet a bien été prévenu, mais Éric Liégois n’a eu, pour l’instant, aucun retour, de quelque nature que ce soit. Netflix de son côté n’a pas bougé d’un iota depuis le premier volet de l’affaire, considérant sans doute qu’il s’agit plus d’un épiphénomène qu’un piratage de grande envergure. Sans la gronde de plusieurs centaines, voire milliers, d’abonnés piratés, l’entreprise ne mettra jamais en œuvre une double authentification qui ruinerait l’expérience utilisateur souhaitée par Netflix, à savoir fluide, agréable et sans contrainte. Spotify a bien mis en place un catcha qui complique un tantinet l’automatisation des checkers de comptes, mais les érudits ont vite fait de le cracker.
La seule sanction connue à ce jour et celle dispensée par les parents d’un des ados de la communauté Discord. La sentence ? Un mois sans ordinateur. Et roulez jeunesse !
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Les autorités et la justice sont tellement à ***** qu’ils peuvent continuer comme ca longtemps.
😂des gamin serieu il sont pas capable de securiser leur compte😂
"On n’est pas sérieux quand on a 14 ans" et juste après "Steve (un pseudo), 17 ans"
Une petite relecture rapide ça ne fait pas de mal.
Sinon il manque Pornhub dans les tags
Netflix, c’est 1/2/4 appareils simultanés. À un moment, le prioritaire du compte va se rendre compte de l’usurpation.
Bonsoir comment allez vous. Attention aux arnaques, je me nomme Virginie Bouchon.Je viens vous fais part de mon expérience personnel afin d’éviter au maximum de personnes de tomber dans le même piège que moi. Tout allait bien entre nous, et je suis tombé amoureuse de lui, après un mois de conversation, il m’a dit qu’il partait en Afrique précisément en côte d’ivoire pour le boulot une fois dans ce pays, il a eu un problème avec la voiture de location qu’il avait loué, car elle était volée alors il devait payer une amende de 10.570 Euros, mais il n’avait pas cette somme, c’est alors qu’il m’a demandé de lui prêter cette somme, Alors j’ai pas hésité de lui envoyer l’argent par mandat Western Union la semaine qui a suivi, il m’a encore demandé une somme de 8000 Euros, car il venait de se faire agresser, je lui ai encore envoyé de l’argent cela me paraissait vrai que je me suis laissé manipulé. Ensuite, il me demanda encore une somme de 1000 Euros, car il devait payer sa chambre d’hôtel, car ont lui menaçait de le jeter à la porte-là, j’ai commencé à douter de sa sincérité alors j’ai exposé mon cas à un collègue de travail qui ma mise en contact avec un agent Interpol MR ROBERT ROUSSEAU , cet homme m’a beaucoup aidé. J’ai été victime d’une escroquerie sur un site de rencontre MEETIC d’une somme total de 18.570 Euros,on m’a orienté vers plusieurs organismes de sécurités en France la Police, la Gendarmerie, et même la Police interpole en France grande était ma tristesse quand ils m’ont dit qu’ils ne peuvent pas grande chose pour moi.Une amie qui a aussi été victime de ce genre d’escroquerie après lui avoir expliqué ma situation et ce qui m’est arrivé, elle m’a conseillé et m’a donné l’adresse E-mail d’un Inspecteur de Police d’office de lutte contre la cybercriminalité à contacter pour trouver de solution à mon problème, chose que j’ai faite en me mettant en contacte avec cet inspecteur de Police qui m’a aidé à retirer l’argent dans un premier temp à ouvrir un dossier contre ces escrocs puis m’a exhorté à collaboré j’ai donc envoyé tout les mails échangés et preuves de virements effectués. Après quelques jours d’enquêtes minutieuses il a réussi à mettre la main sur mes escrocs et finalement je suis soulagée et tous ces fonds que j’avais perdus m’ont été remboursés plus des frais de dédommagement et une lourde peine d’emprisonnement contre ces personnes de mauvaise foi. grosse somme d’argent, d’achats non conformes à la photo, de virement bancaire, des site de rencontre meetic disons demain badoo de chantage sur le net, de faux maraboutage et faux compte,paypal, de fausses histoire d’amour pour soutirer de l’argent, de vente de voiture, de gay et lesbienne et de faux tirage a la loterie etc…Pour cela, je vous donne l’adresse mail de cet inspecteur de Police et J’exhorte tous ceux qui ont été victime de tout sorte d’arnaque en Cote d’Ivoire, au Bénin,Nigeria ou plusieurs pays africain a prendre contacte avec cet inspecteur de police qui m’a aidé à récupérer mes sous des mains de ses escrocs. Voici l’adresse mail pour le contacter :
E-mail: [email protected]
E-mail: [email protected]
N’hésitez pas à prendre contact avec lui si vous avez aussi été victime de cette arnaque il saura quoi faire pour vous aider