Comment, en participant à 9500 concours en trois mois sur Twitter, j'ai découvert un trafic de comptes premium volés.

Parce qu’il est anormalement long, cet article est aussi dispo en podcast. Pour que tu puisses continuer à vaquer à tes occupations sans que je ne te monopolise 30 minutes de ta vie :)

Je suis resté trop longtemps envieux des mecs qui savent coder. Le fait d’être capable, entre autres, d’automatiser des trucs répétitifs et chiants et d’en tirer un avantage sur le commun des mortels m’a toujours bluffé. Si tu combines ça avec ma fascination pour les ”trucs malins™”, le temps que je passe sur le net et la frustration grandissante de pas savoir faire… Je devais craquer à un moment.

D’autant plus que je suis tombé cet été sur cette vidéo de la Def Con 24 ou un mec explique comment avec 50 lignes de Python pour faire un bot, il avait gagné un max de trucs sur Twitter en participant à des concours type ”RT et Follow” (Où pour participer, il suffit de s’abonner aux comptes cités par l’organisateur et de repartager l’annonce du concours auprès de ses propres abonnés.).

J’étais hypé.

Je me dis que ce serait un bon projet pour apprendre à coder. Du coup me voilà à enchainer les cours Python de codecademy (très bon site semi-gratos pour tremper ses orteils dans plein de notions liées à l’informatique au passage).

Un mois plus tard, à raison de deux ou trois heures par jour, j’ai une première version de mon bot. Je vais pas le détailler ici, c’est pas l’objet du billet, je partage juste avec toi des fun facts sympas :)

  • Faire un bot c’est facile, faire un bot qui vole sous le radar, c’est plus chaud.
  • Sous sa forme actuelle, c’est 500 lignes de code pour la boucle principale, un catalogue de 2000 tweets tout prêts pour se faire passer pour un humain entre les sessions de participation aux concours, des outils développés pour me faciliter l’ajout de tweets dans ce catalogue (tu crois quand même pas que je vais me faire chier à les écrire moi-même alors qu’il y en a des milliards sur Twitter ;)), une gestion de blacklist, d’abonnements et de désabonnements, des logs, des stats…
  • Entre octobre 2017 et mi-janvier 2018, j’ai participé à environ 9500 concours sur Twitter.
  • J’aurais gagné un seul truc, j’aurais déjà été super content. Mais c’est une péta-chiée de lots que j’ai remportée : des places de ciné, de théâtre, de stade, une rencontre avec un gros rappeur actuel, des DVD, des produits dérivés, des trucs dédicacés, des jeux video (plein), des goodies et d’autres trucs dont on va beaucoup reparler…

En parlant strictement du code, c’est un bordel sans nom. Y a des morceaux de code dont j’ai juste honte, d’autres qui te font péter un câble à posteriori et une dernière catégorie qui te fait bien comprendre le sens de la phrase ”Non mais ça faut pas toucher, c’est historique”. Bon après, de mes heures passées sur StackOverflow ou Reddit, j’ai l’impression que c’est un peu le cas de tout le monde.

Mais ça fait le taff, j’ai appris plein de trucs et si c’était à refaire, je referais tout ça sans doute différemment. Bref je ne me considère pas encore comme sachant coder mais comme étant capable d’obtenir le résultat souhaité. Si tu vois la nuance.

On va pas se mentir, j’ai à chaque fois l’impression d’avoir un super pouvoir qui me fout régulièrement le sourire aux lèvres.

Ça c’est pour l’intro. Pour que t’aies une vision large de comment j’en suis arrivé sur ce qui va suivre. Parce que si t’es encore en train de me lire à ce stade, tu vas pas être déçu du voyage.

Enfile un slip on y va.

Les organisateurs de concours

Quand tu participes de façon industrielle à des concours sur Twitter (100 par jour en moyenne pendant 3 mois donc), tu commences à réaliser deux ou trois trucs sur le sujet. Tu vois émerger des patterns, et tu en viens à t’intéresser aux comptes qui organisent ces concours. Et pour bien comprendre pourquoi je commence à penser qu’il se passe un truc vraiment bizarre, il faut analyser ces comptes et la façon dont ils fonctionnent.

Dans le schéma ci-dessous, ce que tu vois, ce sont les comptes auxquels mon bot à dû s’abonner pour participer aux concours. Chaque trait entre deux comptes indique un abonnement de l’un vers l’autre. Chaque couleur représente une ”communauté”. En gros, on regroupe les comptes par inter-connexion entre eux. Ici, on en distingue vraiment 4.

  • En violet/rose : l’univers du sport,
  • En bleu : l’univers du spectacle,
  • En orange : l’univers de la high-tech et du gaming,
  • En vert : le monde merveilleux des organisateurs de concours professionnels.

Le p’tit tas vert en bas à droite. C’est eux qui nous intéressent.

Laissons de côté les concours ”classiques”, ceux organisés par de vraies institutions comme la Fnac ou Cdiscount ou tout autre community manager en mal d’engagement… Eux sont réglos (pour les concours… PARCE QUE PAYER 1.50€ de frais de gestion pour une place achetée en ligne et que j’imprime moi-même, ça a un nom : un scandale).

Mais si on se plonge dans le monde merveilleux des ”Digital influenceurs”, ”organisateurs de concours” et autres titres ronflants signifiant ”Animateurs de bingo branling”, on remarque plusieurs choses intéressantes.

  • La pub que les mecs se font entre eux est dingue. Venant de ce qu’on appelait à la grande époque du web 2.0 ”la blogosphère” où ça se tirait et se tire toujours une bourre que les Las Ketchup qualifieraient d’assez serrée, je suis très très étonné de la synergie que les mecs déploient. Appelle moi cynique, mais je trouve ça suspect.
  • Au delà de l’échange de bons procédés ”je te fais de la pub, tu me fais de la pub, on se fait de la pub”, il y a quand même une filiation entre certains comptes. Ça fait référence à d’autres comptes ”partenaires”, à des ”shops” qu’on croise de manière régulière…
  • Le rythme effréné des concours. Certains comptes organisent plusieurs dizaines de concours par semaine.
  • Beaucoup de ces comptes sont jeunes. Moins d’un an en général, souvent moins de 6 mois.
  • En dehors des concours, sur leur timeline publique et même lors des échanges que j’ai pu avoir avec eux, il en ressort un profil souvent jeune. Lycéen ou collégien, ça parle de m’envoyer les lots une fois sortis des cours, ça vanne entre les comptes sur les évènements qui se sont passés dans diverses soirées… On y trouve aussi quelques jeunes youtubeurs gaming. Des chaînes sans intérêt, globalement peu fournies où des mecs jouent aux hits du moment sans skill particulier ou valeur ajoutée. Bref, ça sent le pyjama comme on dit.

Ça, c’est pour les comptes.

Y a du bruit, y a des lots

La typologie des lots, c’est vraiment là que tout être normalement constitué commence à remarquer les effluves ammoniaqués qui se dégagent de tout ce bordel.

C’est pas compliqué, on retrouve toujours la même chose :

  • des comptes Spotify premium,
  • des comptes Netflix premium,
  • des comptes Minecraft,
  • des comptes Uplay ou Origin,
  • des clés Steam,
  • des skins CS:GO,
  • de la thune pour Fortnite,
  • de la thune dite ”Paypal”

Ça a grosso-modo, toujours cette gueule là :

Bon tya compris, on va pas en mettre 40.

Sur le moment tu te dis, naïf que tu es (et comme je le fus, en vain) que c’est cool. Tu te dis qu’on va t’envoyer un code promo à utiliser pendant l’inscription pour obtenir un ou deux mois de compte premium offert.

Pas du tout. Parce que quand tu gagnes, voilà ce que tu reçois :

P'tit compte Spotify Premium…
Et un autre.

À ce moment là, perso, j’hallucine complètement. On te fait LITTÉRALEMENT gagner un compte. On ne te dit pas qu’il s’agit de celui de quelqu’un d’autre. Un quelqu’un qui paye pour ça… Avec son argent à lui.

Un login, un mot de passe…

Et des gens derrière

Du coup, systématiquement je me mets à chercher sur le net les adresses mail des logins que je gagne. Dans l’immense majorité des cas, je retrouve ces gens.

Ils existent bel et bien. On n’est pas du tout sur des comptes générés à la volée qui profiteraient d’une version d’essai en s’asseyant sur les CGU des services concernés. Pas du tout. Là c’est sur la loi et l’éthique qu’on s’assoit. Ce qui ne manque pas d’ironie parce que les concernant les mecs ont de grands principes et sont hyper à cheval sur l’honneur, on y reviendra (ça fait deux fois, faut pas que j’oublie).

J’ai pu donc, à plusieurs reprises, trouver trace des propriétaires des comptes qu’on m’offre. Sur linkedin (notamment un mec consultant en sécurité informatique…), dans des compte-rendus d’assemblée générale d’associations, dans un journal local…

Bon. Au bout de quelques comptes gagnés, je mets en place un filtre sur mon bot. Parce que je veux gagner des trucs légaux. Donc je fais en sorte que mon bot ne participe plus à ces concours.

Par contre je vais commencer à vraiment m’intéresser à ces concours. Parce que quand tu commences à mettre en parallèle la quantité de concours douteux produits chaque jour avec le fait que ce qu’on te fait gagner est 100% outlaw, tu te dis que t’es pas le seul à jouer avec des process industriels limites-limites dans ce merdier.

Sauf que moi ce que je fais avec mon bot, y a que Twitter qui me l’interdit et tout ce que je risque c’est une suspension du compte de mon bot. Par contre ce que ces mecs font, la loi est clairement pas de leur côté. Mais je commence à me dire qu’il y a autre chose derrière et ça commence sérieusement à m’obséder.

Désobéissance si vile !

La vente de comptes premium Netflix, Spotify, Minecraft via les générateurs

En remontant plusieurs pistes, on se rend compte que certains des mecs qui gravitent autour de l’organisation de concours tiennent des sites de ce genre :

Dans le milieu, ce type de site a un nom : un générateur de compte.

Y en a plusieurs types différents mais soit contre un ou deux balles, tu récupères un compte, soit pour une somme un peu plus conséquente, tu peux avoir un accès ”à vie” et tu peux ”générer” des comptes premium.

Tu cliques sur le nom du service pour lequel tu veux un compte premium, et on te file un login et un mot de passe. Et si dans deux heures il ne fonctionne plus tu reviens en prendre un autre. Pouf pouf. L’hallu est totale.

Il est plus que probable que le site soit mort à l’heure où tu lis ces lignes parce que le turnover est assez important dans ce domaine. Soit les gars shuntent leurs sites d’eux-même pour pas les laisser en ligne trop longtemps et en ouvrir un autre ailleurs. Soit ils se les font fermer parce qu’il existe encore dans ce monde des hébergeurs qui connaissent leur taf. Mais c’est pas le cas de tous… Par exemple, y a un hébergeur associatif du côté de Nantes qui sait ce que Freegen propose et qui au nom d’un “Internet free” est ravi de les accueillir… Vous pouvez supprimer le tweet, j’ai des screens.

Dans les deux cas, tu sais qu’un truc ne va pas et tu peux pas faire l’étonné quand ça te tombe dessus.

Ah bah si dis-donc, ça fait l’étonné.

En vrai ça chouine souvent parce que le site est fermé par l’hébergeur en jouant les chevaliers blancs en mode ”On fait tout notre possible pour revenir vite et tout et tout, on vous aime, voici notre tipee pour nous soutenir”… Les mecs doutent de rien, c’est hallucinant. Et quoi que tu aies payé, tu te doutes bien que tu peux te le rouler en cône, le poser sur un tour de potier que tu fais tourner très très vite et jouer les taille-crayons en t’asseyant dessus.

”Vous avez lu nos cgu que vous les avez accepter”. On vend des trucs illégaux mais comme tout le monde on se réfugie derrière les conditions générales d’utilisation (et non de vente, parce qu’après tout pourquoi être rigoureux)…

Un peu comme SwissAlts qui, non content d’avoir des CGU Nord-Coréennes, pose un disclaimer dans son footer…

Pas à une contradiction près, le mec à un tld en .EU pour un site suisse…

‘Tain les mecs manquent pas d’humour…

Ce qui me tue la gueule à ce moment là c’est que la légalité toute relative de leur offre commerciale ne les empêche pas d’en faire allègrement la promo sur leurs comptes Twitter :

Et avec une valeur des choses qui, quand on prend un peu de recul, ne manque pas d’ironie :

Vous vendez quoi déjà les gars ? Ah oui des comptes volés…

D’autres comme ”Moguy Shop” gèrent ça un peu plus en loucedé. Ça vend via les DM, Discord, Skype ou SNAP. On navigue en permanence dans un flou d’amateurisme avec des fautes tous les trois mots, des promos toutes les deux heures mais limitées dans le temps…

Les tarifs sont complètement dérisoires, c’est à se demander pourquoi se faire chier :

Au passage, je rappelle qu'en parlant de générateur, on te laisse penser que les comptes peuvent être créés à la volée. Mais que nenni. Derrière un accès payant, ils refilent en fait des comptes premium tapés. Exactement comme ceux que j’ai pu gagner précédemment. C’est du génie putain.

Ego sans l'fric

Un autre truc assez malin, un peu plus à la marge mais qui se rencontre tout de même, c’est la vente de followers.

Dans le monde merveilleux de l’achat/vente de followers, il y a deux ”standards” connus :

  • Ceux qui te vendent le fait de faire gonfler le nombre de tes followers avec tout et n’importe quoi, en général, des bots se cachant à peine et que Twitter purge régulièrement. Basiquement, tout ce que tu fais c’est payer pour que temporairementton compte affiche plus de followers sans te faire trop chier à les ramener toi même. Useless.
  • Ceux qui te GARANTISSENT que les followers qui débarquent sont de vraies personnes. Pas des bots. Et cette catégorie là, elle m’a toujours intrigué. Je ne dis pas qu’il n’y a jamais un ou deux bots qui trainent, mais en général, la promesse est quand même relativement tenue. Je veux dire autant que ce à quoi tu peux t’attendre pour un business aussi shady du cul.

Tu t’es déjà demandé comment faisaient les mecs qui te vendent de vrais followers pour les faire venir sur ton compte Twitter ? Comment ils les ”forcent” à suivre le compte d’un mec qui les a payés pour ça ?

Quand tu veux faire ta pub et obtenir de vrais followers, que t’as de la thune et pignon sur rue, tu payes un compte qui pèse, une vedette, pour organiser un concours en demandant à ce que les participants te suivent ou un truc du genre. Et tu ramasses ce qui vient. Mais quand t’es un peu moins regardant, que t’as pas de thunes, tu fais comment ?

Bah tu payes une misère un des loustiques (en nature, en passion, en exposition, mais parfois aussi en thune bien fraîche) et ce qui va se passer ensuite c’est qu’il va poster un truc du genre :

CONCOURS A chaque 50 RTs je tire un Gagnant qui gagnera un Netflix

Pour participer :

- ReTweet Ce Tweet

- Follow :

- @ConcoursShady22

- @ConcoursMoisisDuCul

- @YoutubeurEnMalDEgo234

Tirage a 250 ReTweets Bonne chance à tous !

Et boum. ConcoursShady22, ConcoursMoisisDuCul et YoutubeurEnMalDEgo234 se ramassent les 250 connards qui participent. Dont mon bot.

Pour les devis et les commandes, ça se passe souvent en DM. Mais parfois ça négocie en public :

Mais ces comptes volés, ils viennent d’où ?

On va pas y aller par quatre chemins, ces comptes sont d’une facilité déconcertante à obtenir. Chaque login et mot de passe associé ne sont qu’une toute petite partie de ce que l’on appelle des Combolists. Il s’agit de listes plus ou moins qualifiées (comprendre testées) ayant pour forme :

adressemaildelavictime@providermail.com:motdepasse

voire pour les plus qualifiées :

adressemaildelavictime@providermail.com:motdepasse:service

Chaque jour ce sont des dizaines, voire des centaines de milliers de nouveaux comptes qui sont mis à dispo de différentes façons :

  • Sur des sites, qui rappelleront à certains d’entre vous les boards des années 2000 où l’on retrouvait des serveurs FTP universitaires non protégés remplis ras la gueule de distribution Linux. On paye pour un accès à une partie privée d’un sous-forum sur laquelle arrivent tous les jours de nouveaux comptes.
  • Sur Pastebin, toujours dans les bons plans…
  • Sur Selly, site de vente en ligne de produits numériques.

Sur Youtube, on trouve même des mecs t’expliquant comment, littéralement en moins de 10 clics (et autant d’alertes de ton antivirus), automatiser la collecte des logins/mots de passe afin de générer ces combos lists. On est en plein territoire de script kiddies, mais ça fonctionne. En laissant mouliner ta bécane 30 minutes derrière quelques proxies, tu peux récupérer des centaines de comptes.

Capture d’écran d’un tuto croisé sur Youtube

Comment ces infos sont obtenues

À ma connaissance, ces infos ne viennent pas des services payants mis en avant dans ces concours.

Souvent, ces combos viennent de leaks antérieurs. À chaque fois que tu as une fuite de login/mot de passe dans la nature, le résultat est le même : t’as des centaines de mecs qui se jettent dessus pour les tester sur autant de services en ligne que possible. On voit là ou ça passe et on peut ensuite, diffuser ou revendre ce qu’on a trouvé… C’est 100% dégueulasse on est d’accord. Et toujours 100% illégal.

Pour le reste, ça vient souvent de campagnes de phishing en récupérant les infos de login. Peu importe pour qui le mec qui lance la campagne de phishing se fait passer, comme la majorité des gens utilise le même mot de passe partout… Là encore, il suffit de tester ces listes sur différents services (Netflix, Spotify, Hulu, Origin…) et de voir ce qui passe. Mais ça, ça s’automatise très bien.

C’est là que je bloque

On est mi-janvier. Pendant des semaines je bloque là. Bon je vivais aussi un peu à côté hein, ça m’obsède mais je fais pas que ça, on se comprend. Mais j’arrête pas de me tourner en boucle les points suivants :

  • Je comprends pas pourquoi quelqu’un se fait chier à organiser des concours pour gratter quelques centimes.
  • Pourquoi prendre de tels risques pour si peu ?
  • Y a pas moyen que ce soit que pour le fun BORDEL ! À qui ça profite ? Qui se fait vraiment du blé ?
Ça c'est moi qui explique ce que je trouve à mes potes qui ne savent pas comment me dire que j’y passe trop de temps.

Spring Theory

Je commence à penser que des mômes (l’amateurisme et tout, souviens toi Barbara) sont utilisés pour faire directement et indirectement la promotion des générateurs de comptes et vendre du follower. Cette promotion elle prend la forme de concours sur Twitter, de partenariats annoncés haut et fort entre eux et leurs ”fournisseurs”. Bref ce sur quoi mon bot est tombé par hasard, n’est qu’un prétexte pour attirer le chaland, un réseau de rabattage vers les sites de vente de comptes volés.

J’avais déjà un petit feeling qu’on se trouvait sur un délire à deux vitesses. Que la thune, elle était vraiment du côté de ceux qui tiennent les générateurs et que les autres ne ramassaient que les miettes. Et que tout le monde était content comme ça.

J’allais pas être déçu.

Les Kheys gênent

Parce que début mars, en épluchant les logs de mon bot, je tombe sur un compte qui organise un concours proposant toujours des lots daubés du cul et demandant de suivre ”Zerka dev”. À ce moment-là une des théories que je cherche à confronter à la réalité, c’est que la thune se fait aussi pas mal en vendant du follower (finalement pas autant que ce que je pensais). Je me dis que ”tiens, un dev ça peut être cool à suivre pour voir si c’est un compte legit en mal d’égo”.

C'est raté.

C’est raté, encore un truc affilié à du concours de chie. Mais je vois un lien Pastebin dans la bio. Et ça, ça sent bon. Moi j’aime bien les liens Pastebin parce que c’est là qu’on pose ce qu’on veut pas héberger soi-même si tu vois ce que je veux dire… :)

Et voilà ce qu’on y trouve (garde en tête que Freegen.fr c’est un revendeur de comptes qui a fermé et qui à l’heure où j’écris ces lignes est de retour après un petit moment d’absence) :

Hey , moi c’est Zerka ancien Responsable Partenaire chez https://freegen.fr

Je vais dénoncé quelque trucs qui se passe en interne dans le Staff chez FreeGen.

- Tout les générateurs concurents sont soit piratés pas ZeyKnom , Et anciennement VeyRoZz. Si il ne sont pas dans le staff , alors FreeGen fait pression sur eux.

- Le Staff n’est pas reconnu à sa juste valeur pour leur Travail , et les rôles ne sont pas respecter ( Support va faire travaille d’un CM , Support et si y peut Fournisseurs )

- Owner (Lukaas) manipulé par 3–4 membres , Lukaas étant trop jeune , il à certains truc qu’il ne comprend pas et se fait manipule par ZeyKnom et Beying (Milou , Beuhing). Et prend la grossse tête

- Insultes constante sur discord dans le channel #all-staff

- Parle dans le dos , et Taupe dans le staff 😂

Voilà , il reste tout de même de bonne personnes dans le staff comme : Ded3l , Nath , Hook , Faken ou ecore Trigger.

Et pour c’eux qui disent Rageux … m’en bat clairement les couille , ma vie ne s’arrête pas. Et je n’est pas était kick de chez FreeGen mais j’ai quitte leurs discord quand tout le monde à était mit support pour la refonte des grades ( ce qui signifié ma fin chez eux ) et pour c’eux qui veulent me suivre follow moi ou suis mon aventure chez @cooperproject

Sale ambiance mamène.

Y a eu du rififi dans l’équipe de FreeGen. Mais on apprend plein de trucs intéressants :

  • Y a un chaud qu’il faut pas faire chier, c’est Zeyknom parce qu’il hack.
  • Y a des revendications qui sont pas entendues… Ils en ont gros. REVOLTE !
  • Y a de la manipulation, de l’influence, des taupes… On se croirait dans House of Cards, le cul en moins.
  • Heureusement, il reste des gens biens, ne ternissons pas leurs réputations.

Autre lien dans la bio de notre nouvel ami Zerka, un one-page website aux allures de CV. Ou l’on apprend que le monsieur a 15 ans, ”part sur une premières S” et se destine à devenir dev. Grand bien lui en fasse, mais je commence à en avoir plein le cul de tomber sur des gamins. Je tombe que là dessus depuis le début, c’est pas possible ! Moi je cherche le gros poisson là, le cerveau.

When everything goes south, shut your fucking mouth

Du coup je m’intéresse à Zeyknom, c’est lui qui semble le plus intéressant. Parce que c’est un hacker après tout.

Bon après quelques recherches, on va dire que j’ai pas trop peur. Je croise les doigts.

Par contre, sur son compte Twitter, je tombe SUR UN AUTRE DRAMA inter générateur. Où on va apprendre pas mal de choses là encore.

Je te la fais courte : Altsfr, un autre gros gros GROOS revendeur de comptes volés tenu par Laiteuxxx voit sa réputation entachée par le fait que son ”CM” s’est barré avec une partie du stock de comptes sous le bras pour ouvrir son propre shop de revente. Du coup certains comptes ont été revendus plusieurs fois et ça gueule sur Twitter parce qu’évidemment beaucoup de ces comptes vendus par l’un comme par l’autre ne fonctionnent plus. Dommage.

Mais c’est une bénédiction pour moi parce qu’il y a drama.

Et si y a drama, on va où ? Eh bah on va sur Youtube, voir ce que les gens en disent. Et alors là. Mais alors LÀ MON GARS !!! Je tombe sur une vidéo qui en trente minutes me fait avancer comme j’ai jamais avancé dans cette enquête.

J’vais comprendre ce que j’aurais du réaliser depuis longtemps.

Il n’y a. QUE. DES. MÔMES.

Laiteuxxx, notre nouveau héros piqué au vif dans son orgueuil et taulier du site AltsFR, répond point par point aux accusations d’un mec aux 160 000 abonnés (Shazen pour ceux qui connaissent, pas vieux non plus, lui aussi un ancien dealer de comptes volés (aveux à 18 min 30) reconverti depuis en youtuber de “”””””talent””””””), justificatif à l’appui.

Et c’est un festival puisqu’on y apprend, de la bouche même du Laiteuxxx en question :

  • Il est effectivement taulier du truc.
  • Il aurait 14 ans.
  • Il serait en Nouvelle Calédonie.
  • Le site a ses propres “CMs”, qui doivent gérer, encore une fois selon ses dires, entre 50 et 300 messages/jours.
  • Les mecs vont même jusqu’à proposer une protection “sheldy” qui te donne droit à un nouveau compte si celui que tu viens d’acheter est bloqué dans les 24 heures après l’achat.
  • À l’heure où il enregistre la vidéo il a au moins un autre site du même style qu’il laisse crever sans rien vendre mais où la pub lui ramène encore 200–300 balles/mois. Ce site n’existe plus depuis, mais je trouvais la stat intéressante parce qu’en plein ”adpocalypse” ça donne quand même une bonne idée du trafic que représente ces sites.
  • Le mec s’en défend, mais pour un gars de 14 ans, il brasse quand même pas mal de thunes. Pour montrer qu’il ne gagne pas les 5k€/mois que Shayzen avance, Laiteuxxx nous fait visiter en toute décontraction le back-office de sa solution de paiement où l’on peut voir qu’effectivement, il ne fait “que” 1300 balles en 20 jours, “et le mois dernier j’ai fait que 2000”… Alors. Comment dire… C’pas 5000 balles, m’enfin c’est pas rien non plus.

Ce que j’ai compris, ce que je peux prouver

D’abord, sache que je n’ai pas montré tout ce que j’ai accumulé ces derniers mois, et ce que j’ai posé ici est incomplet pour des raisons évidentes.

  • J’ai découvert, pas dans le sens regardez ce que je mets au grand jour que personne ne savait, mais au sens de “je le savais pas avant, j’imagine que d’autres non plus”, qu’une galaxie de comptes Twitter en France (mais j’en ai aussi trouvé à l’étranger), tenue principalement par des mômes, organise des concours et fait gagner des lots complètement pétés qui prennent la forme de comptes premium volés. Spotify, Netflix, Minecraft, Origin… Tout ce qui est rentable y passe. C’est à dire que lorsque tu gagnes, on te transmet un login et un mot de passe permettant d’utiliser un compte premium à l’insu de son propriétaire véritable.
  • J’ai compris que tant qu’ils sont potes, ces organisateurs se font une pub infernale les uns les autres. Tirant ainsi leurs audiences vers le haut et augmentant donc la portée de leurs futurs concours. Ou messages à diffuser… Ça peut prendre la forme de mentions dans des concours ou de RT deals dans lesquels les petits organisateurs quémandent aux plus gros quelques centimes d’euros pour des achievements surdimensionnés afin de payer leurs futurs lots.
On nage en plein délire…
  • À mon grand étonnement, non content de faire gagner ces comptes volés, beaucoup poussent le vice jusqu’à tenir des ”shops” où ils vendent tout et n’importe quoi (lesdits comptes volés, des mentions dans les concours qu’ils organisent, des clés steam random (que je soupçonne d’être tapées dans des comptes humble-bundle par exemple) mais aussi des ”méthodes paypal”. Ces dernières sont en fait des astuces plus ou moins légales pour gratter une misère en répondant à des questionnaires, en participant à des schémas pyramidaux ou d’autres trucs du même genre.
  • Une thématique qui revient énormément, c’est le gaming et plus particulièrement Fortnite et Minecraft. Et je pense que c’est pas un hasard. Mon sentiment c’est que tout ça a commencé quand Minecraft a conditionné l’accès au multi en ligne à un compte en ligne payant. Habitués à pouvoir cracker un jeu, les mômes se sont mis à chercher comment jouer pour le moins cher possible et les plus “malins” se sont rendu compte qu’on pouvait appliquer la méthode à d’autres services. Pareil pour Fortnite. Le jeu est gratuit mais pour sortir du lot faut claquer des Vbucks, la monnaie interne du jeu. Et comment on les obtient ces Vbucks ? Quand on est honnête, c’est en jouant (beaucoup) ou en payant (beaucoup aussi). Mais si on est moins regardant il y a pas mal de vbucks louches qui traînent sur le net. Bah c’est pas jojo les gars. D’ailleurs beaucoup de ces organisateurs sont aussi de jeunes youtubers aux dents longues qui, une fois une certaine notoriété acquise, en profitent pour faire la promo des générateurs via des partenariats négociés. Le problème c’est que ces chaînes ont une influence importante sur leur audience constituée le plus souvent de gamins qui finissent par trouver normal d’utiliser des comptes dont les origines douteuses ne sont plus à démontrer.

Toi qui achètes ces comptes

Les Alts Minecraft, les Spotify, les Netflix, les Origin, les comptes Steam, Hulu… Il n’y a AUCUN DOUTE sur le fait que les comptes que tu achètes ou que tu gagnes sont volés. Leurs propriétaires les ont payés ou les payent toujours. Si t’es un peu cohérent (cohérent ça veut dire que tu changes pas d’avis quand ça t’arrange), tu ne peux pas chercher à acheter un compte volé à quelqu’un, même un quelqu’un de l’autre bout du monde, et reprocher à un vendeur de comptes de te douiller parce que ce que tu achètes ne fonctionne pas. D’ailleurs, tu ne peux pas chercher à acheter un compte volé à quelqu’un point barre.

Toi qui vends ces comptes

Alors vous les gars, vous me faites vraiment marrer avec votre code d’honneur, vos principes et vos convictions. Vous ne supportez pas qu’on doute de votre came alors même qu’elle pue la pisse froide.

Mais en étudiant vos échanges publics il est évident que vous savez parfaitement ce que vous faites. On retrouve des comportement qui rendraient fiers les tauliers de Bitconnect. À 15 ans putain !

Si vous déployiez la même énergie à faire un truc légal vous iriez méga loin. L’ingéniosité dont vous faites preuve, je l’ai vue, je l’ai palpée. J’en ai lâché des “Pfuuuuuutaiiiiiiiin !” mi-admiratif mi-écœuré en comprenant ce que vous faisiez.

Quand à 15 berges vous êtes capables de gérer une équipe, un site, un cashflow et un approvisionnement il ne vous manque plus grand chose…

Juste un mix de bon sens, de morale et d’éthique. Et ça, ça coute pas une thune. Pas besoin de gueuler sur Paypal qui gèle ton compte à raison.

Et maintenant on fait quoi ?

On va devenir un peu plus sérieux maintenant. Je ne suis pas naïf, je me doute bien que c’est pas un truc nouveau, que pour certains d’entre vous, j’enfonce des portes ouvertes. À priori, ça fait 4 ou 5 ans que ça dure sous cette forme. Je me doute aussi que je n’ai pas trouvé tout ce qu’il y a à trouver. Mais moi je découvre la décontraction et l’échelle de la chose. On se fait gagner et on se vend des trucs 100% outlaw, sans se cacher, en cherchant même à le rendre le plus populaire possible. Et ça, bah ça s’explique par le fait que ce sont des gamins qui font ça. Pour les plus naïfs, c’est comme dealer les kiris tapés à la cantine dans la cour de récré, c’est un jeu. Pour les autres, c’est comme les mecs qui revendaient des faux pogs faits maison. On joue aux petits faussaires.

Comme je l’ai dit plus haut, beaucoup de ces comptes organisateurs semblent être tenus par des gamins qui n’ont pas du tout conscience de la gravité de ce qu’ils font. Et ça, ça me pose vraiment problème.

Le mec est joueur, tu peux pas lui enlever ça.

J’ai contacté les deux services les plus présents dans ces concours et sur ces sites : Spotify et Netflix. Et en substance leur réponse c’est ”on est au courant de ces pratiques, on lutte contre mais le problème ne vient pas de chez nous, quand on a un doute on contacte les clients concernés”. Et j’ai aucun souci avec ça, c’est très bien. Y a pas de fuite de données venant de leurs services, pas de piratage de base de données clients. Rien de tout ça. Que ce soit clair.

Mais pour moi, ça suffit pas. Des mecs testent des logins sur ces services, et quand ils fonctionnent, la valeur de ces logins augmente. Et donc leur diffusion. Et c’est ça le vrai problème : y a des millions de logins dans la nature. La plupart ne servent à rien. Mais à la seconde où ils fonctionnent sur un service payant de ce genre, la cash machine démarre. Et les comptes, ainsi que les informations qu’ils contiennent de facto, sont jetés en pâture pour une bouchée de pain. Et quand on est pas trop un manche en social engineering, on peut quand même en faire deux trois trucs, même avec un numéro partiel de carte de crédit…

Alors évidemment on peut rappeler les bonnes pratiques de login, comme se sont empressés de le faire, à raison, Netflix et Spotify dans les échanges que j’ai eu avec eux :

  • Ne pas utiliser de mot de passe unique pour tous ses comptes.
  • Utiliser des mots de passe forts.
  • Utiliser un bon antivirus pour détecter les keyloggers et autres collecteurs…
  • Ne jamais saisir un mot de passe sur une bécane qu’on ne connait pas.

Mais tant qu’à cause du pouvoir de la flemme il y a un problème entre la chaise et le clavier, on ne peut plus s’en contenter.

À mon sens pour le moment, il n’y a pas 500 façons de limiter la casse. Étant donné l’ampleur du phénomène, c’est a minima que tous les services en ligne commencent à proposer l’authentification deux facteurs par défaut. C’est à dire qu’en plus de saisir ton login et ton mot de passe, on t’envoie un code par exemple par SMS, mail ou un autre moyen de communication et on te demande de le saisir au moment du login. Si le mec qui teste ton login n’a pas accès à ton téléphone, il est bloqué à la porte. Et ce n’est qu’une façon de faire de l’authentification deux facteurs…

Je sais que beaucoup vont grincer des dents parce que c’est chiant, parce que c’est un peu plus long etc. D’abord c’est pas toujours vrai. Et honnêtement, c’est juste le truc le plus sûr qu’on sache faire pour prévenir ce genre de comportements. Et c’est pas en courant après les comptes d’organisateurs ou les sites de reventes qu’on va changer quoi que ce soit. En trois mois, la moitié des sites de revente ont disparu, souvent pour rouvrir ailleurs avec les mêmes mecs derrières, sous un autre nom ou simplement sous une autre forme, capitalisant sur le succès de leur première version. Ça fait cinq mois que je les traque et je galère à suivre… Ce qu’il faut c’est rendre la came que vendent ces sites sans valeur, en la rendant inexploitable grâce à une authentification deux facteurs.

Ce qui arrive aux mecs dont les logins se retrouvent dans ces combos lists peut arriver à n’importe qui. Il suffit d’une minute d’inattention pour saisir un mot de passe où il ne faut pas, ou même simplement qu’une base de données exploitable contenant un de vos logins fuite, peu importe d’où. Bien sûr, si vous n’utilisez jamais le même mot de passe sur deux services, vous minimisez grave le risque. On est beaucoup à déjà le faire. Mais beaucoup c’est pas la majorité. Tata Simone, elle se souviendra toujours du nom de son chat au moment de se loguer. C’est dramatique mais c’est comme ça.

On est en 2018, les infos que nous mettons en ligne ont une valeur de plus en plus importante. Sacrifier la sécurité de nos données au nom d’une meilleure expérience utilisateur, ce n’est plus possible. Mais ça, il faut que ça vienne de nous. Il faut interpeller les services qui ne sécurisent pas l’accès à nos comptes comme il le faudrait, sur Twitter, sur Facebook… en leur demandant de prendre les mesures préventives nécessaires à la protection de TOUTES les données que nous leur confions.

Mais surtout, il faut sensibiliser. En parler autour de nous. En partageant ce genre de billet, en en discutant à la machine à café, à l’apéro ce soir…

Parce que si on les attend, sans pour autant collectivement avoir une meilleure hygiène numérique, on sera pas sortis le cul des ronces.

Aller, des bisous, à dans un an.

EDIT 2 : Et c'est pas fini, il y a une suite.

EDIT 1: On me demande beaucoup si il y a un moyen de savoir si nos logins ont été « fuités », si il existe un risque de voir un de nos logins tomber dans ce genre de merdier. Alors oui, ça existe, ça se passe là : haveibeenpwned.com

Tout ce que tu as à faire, c’est donner ton email (ou télécharger la base de données et le faire toi même, si t’es devenu parano depuis ton arrivée ici 😉 ).

Mais c’est pas parce que t’y es pas que tout va bien. Par contre si tu y es, qu’on te sort un mot de passe que tu utilises encore, ça pue un peu du fondement.