Quand YouTube sert la cause du spam

L’expert en sécurité Sophos vient de révéler une faille de sécurité dans le site YouTube, permettant à une personne tierce de détourner le service d’invitation du site afin de faire la promotion d’autres services sans rapport.

Du spam en bonne et due forme chapeauté par YouTube bien malgré lui.

YouTube détourné

Voilà un moyen plutôt efficace pour envoyer du spam à la volée sans craindre de se faire stopper par les filtres antispam, même les plus performants : se faire passer pour YouTube, et donc pour Google. Et le meilleur moyen de réaliser ceci est donc de détourner le service d’invitation du site de partage de vidéos pour se l’approprier et faire ainsi la promotion de son propre service. Cette fonction d’invitation est présente depuis longtemps dans YouTube et permet aux utilisateurs d’inviter un ami à venir se connecter et s’inscrire sur le site. L’adresse service@youtube.com, une fois détournée, n’éveille plus l’attention ni des filtres, ni des internautes.

« Les spammeurs piratent souvent à leur insu les PC des internautes pour diffuser des courriels sur Internet, mais dans ce cas ils n’en ont même pas besoin, » explique Michel Lanaspèze, directeur marketing et communication chez Sophos.

Notre avis : voilà une nouvelle fois l’exemple d’une faille anodine en apparence, mais aux conséquences potentiellement dramatiques. Si l’adresse a été utilisée par des spammeurs, rien n’indique qu’une autre personne ne chercherait pas à profiter de la confiance des internautes en YouTube pour des actions plus graves encore que le spam.