208 perquisitions à travers le monde, 119 interpellations, voilà le bilan du coup de filet qui a abouti à la chute de Genesis Market, le plus important marché noir d’achat et vente d’identités numériques volées, le 4 avril. L’opération « Cookie Monster » vient parachever trois ans d’enquêtes du FBI, de la police néerlandaise avec l’implication d’Europol et de 17 pays, dont la France.
Un outil très efficace et accessible
Sur Genesis Market une identité numérique se négociait entre moins d’un dollar et quelques centaines. Un prix variable selon la quantité et la nature des informations. Certaines identités permettaient au client d’accéder aux réseaux sociaux des victimes, tout en profitant de leur plateforme de streaming favorite. Dans les cas les plus graves, des personnes ont dû régler des commandes en ligne qu’elles n’ont jamais passée ou pire, constater que leur compte en banque a été vidé.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les chiffres du département de la Justice américain (DOJ) et du Centre européen de lutte contre la cybercriminalité d’Europol (EC3) donnent une idée de l’importance de Genesis Market au moment de son démantèlement : 1,5 million d’ordinateurs compromis liés à 2 millions d’identités et 80 millions d’identifiants d’accès en tout genre. Selon John Fokker, chef des renseignements sur la menace du centre de recherche de Trellix, une entreprise de sécurité informatique qui a contribué à l’enquête, en 2020, après seulement deux ans d’existence, la plateforme a généré 4 millions de dollars de revenus.
Le succès et l’originalité de Genesis Market viennent de sa spécialisation sur une méthode de prise de contrôle de comptes bien spécifique. À l’heure où l’authentification à doubles facteurs tend à se démocratiser, Genesis Market vendait des accès permettant de franchir cette barrière.
Dans le jargon, ce que monnaye Genesis Market ce sont des traces numériques d’identifications des “empreintes digitales d’appareils” et les cookies du navigateur. Contacté par Siècle Digital, John Fokker l’illustre ainsi : « lorsque vous vous connectez à votre ordinateur de travail et que vous passez l’authentification multifacteur pour accéder au réseau, le système stocke certaines données localement sur votre appareil. Lorsque vous revenez sur le réseau ultérieurement et que vous n’êtes pas invité à vous authentifier à plusieurs facteurs, c’est parce que ces données sont toujours stockées sur votre machine ». En ayant accès à ces données, un adepte de Genesis Market a donc les moyens d’usurper une identité sur ses sites favoris.
Les créateurs de Genesis Market ont tout fait pour attirer de nouveaux clients. Outre leur présence sur le DarkWeb, un accès sur le Web classique était également possible. Pour y accéder, il suffisait d’être coopté. Leur interface était soignée et ils proposaient même Genesium, un navigateur de leur facture. Ce dernier est extrêmement simple d’utilisation pour faciliter la tâche à son utilisateur.
L’interface de Genesis Market est particulièrement travaillée pour assurer tout le confort possible à sa clientèle si particulière. Crédit : Trellix
Genesis Market était surtout fréquenté à des fins frauduleuses évoquées plus haut, mais il a pu également servir à des projets cybercriminels plus élaborés. Selon John Fokker « ce marché intéressait les acteurs des ransomwares ou ceux impliqués dans les ransomwares, qui recherchaient des informations d’identification d’entreprise spécifiques ». Le département de la Justice américain affirme que les informations d’identification à la vente « comprenaient celles liées au secteur financier, aux infrastructures critiques et aux agences gouvernementales fédérales, étatiques et locales ». La plateforme est désignée comme l’un des courtiers d’accès « les plus prolifiques dans le monde de la cybercriminalité ».
La disparition de Genesis : coup d’épée dans l’eau ou réel coup dur pour la cybercriminalité ?
Edvardas Šileris, à la tête de l’EC3, s’est félicité d’avoir « gravement perturbé l’écosystème cybercriminel en supprimant l’un de ses principaux catalyseurs ». Il a salué la collaboration internationale ayant permis « la réussite de cette affaire ». En France, selon les informations du Parisien, trois utilisateurs importants de la plateforme ont été interpellés, en région parisienne et en région lyonnaise. Des opérations ont été menées à travers toute l’Europe, aux États-Unis, au Canada, en Australie…
[#Cybercriminalité] La #PoliceNationale, en partenariat avec @Europol et 16 autres pays, a mis fin à l’une des plus grandes plateformes de hackers au monde. Nommé Genesis Market, elle revendait des identifiants de comptes volés.
👉3 #interpellations en🇫🇷 https://t.co/B6NHbvfsOl— Police nationale (@PoliceNationale) April 6, 2023
Comme souvent dans ce genre de cas, tandis que les autorités fêtent leur succès, un successeur est déjà en préparation. Cependant, pour John Fokker il s’agit effectivement d’une « grande victoire », car « Cela brise la confiance de cet écosystème et décourage les autres pirates d’utiliser ces services ». Il ajoute que « les possibles utilisateurs de futures plateformes vont désormais se demander s’ils parlent à un hacker ou à la police ».
L’opération « Cookie Monster » est en elle-même un message destiné aux cybercriminels. Un avertissement qu’a tenu à marteler, le procureur général américain Merrick B. Guirlande, « le département de la Justice et nos partenaires internationaux mettront fin à vos activités illégales, vous trouveront et vous traduiront en justice ».
Pour les potentielles victimes, la police néerlandaise a mis en place un outil pour vérifier avec son adresse mail une éventuelle compromission. Le site HaveIBeenPwned.com a également mis à jour ses données avec celles provenant de Genesis Market.