Une plongée en apnée dans les méandres nauséabonds de certains concours TwitterCrédits : kaspiic/iStock/ThinkStock

Sur son blog, Éric Liégeois (alias Klaki) explique en détail « comment en participant à 9 500 concours sur Twitter [il a] gagné vos comptes premium » sur Spotify, Netflix, Minecraft, Uplay, Origin, etc.

Après avoir développé un bot Twitter, il enchaîne les participations (automatiques) et finit par gagner « une péta-chiée de lots »… dont certains surprenants, pour rester poli. « On te fait littéralement gagner un compte. On ne te dit pas qu’il s’agit de celui de quelqu’un d’autre. Un de quelqu’un qui paye pour ça… Avec son argent à lui », explique-t-il. Il s'est d'ailleurs lancé à la recherche des propriétaires légitimes et, « dans l’immense majorité » les a retrouvés.

Son enquête l'a ensuite amené à se pencher sur les mécaniques derrière ce genre de concours, leur organisateur et les générateurs de compte : « Tu cliques sur le nom du service pour lequel tu veux un compte premium, et on te file un login et un mot de passe. Et si dans deux heures il ne fonctionne plus, tu reviens en prendre un autre. Pouf pouf. L’hallu est totale ».

Eric Liégeois a contacté deux services (Spotify et Netflix). En substance, leur réponse était la suivante : « On est au courant de ces pratiques, on lutte contre mais le problème ne vient pas de chez nous, quand on a un doute on contacte les clients concernés ». En effet, il ne s'agit pas d'identifiants et mots de passe récupérés sur leur base de données, mais d'une autre manière.

Insuffisant pour le blogueur : « Des mecs testent des logins sur ces services, et quand ils fonctionnent, la valeur de ces logins augmente. Et donc leur diffusion. Et c’est ça le vrai problème : y a des millions de logins dans la nature. La plupart ne servent à rien. Mais à la seconde où ils fonctionnent sur un service payant de ce genre, la cash machine démarre. Et les comptes, ainsi que les informations qu’ils contiennent de facto, sont jetés en pâture pour une bouchée de pain. Et quand on n’est pas trop un manche en social engineering, on peut quand même en faire deux trois trucs, même avec un numéro partiel de carte de crédit… ».

Une solution pour limiter la casse serait de pousser la double authentification. Dans tous les cas, c'est également l'occasion de rappeler l'importance de bien gérer ses mots de passe et de les changer au moindre soupçon de fuite. Un gestionnaire (voir notre dossier) peut vous aider à les « rafraîchir » rapidement et.ou de manière régulière.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !