Genesis Market : la place de marché des hackers démantelée
Europol et le FBI viennent de démanteler Genesis Market, l'une des plus grandes plateformes de cybercriminels du Dark Net, où des hackers vendaient des identifiants et des données sensibles de millions de victimes.
Genesis Market vient de tomber. Dans une opération spéciale baptisée Cookie Monster et menée conjointement dans 17 pays, Europol et le FBI ont procédé mardi 4 avril 2023 à quelque 119 interpellations et 208 perquisitions dans le monde entier. Un coup de filet spectaculaire qui avait pour but le démantèlement de l'une des plus importantes places de marché du Dark Net, où des hackers vendaient des données sensibles et personnelles de plus de deux millions de victimes (identifiants, mots de passe, comptes en ligne, cookies, etc.), comme l'indique Europol dans son communiqué officiel publié le 5 avril, qui précise que la plateforme a été mise immédiatement hors service.
Genesis Market : une plateforme spécialisée dans la vente de bots
La principale activité criminelle de Genesis Market concernait les identités numériques. La plateforme fournissait en effet des bots – des robots logiciels – capables de récupérer toutes sortes d'informations privées chez des internautes par le biais de malwares, avec des modes d'emploi pour les utiliser et des fichiers contenant toutes sortes de données personnelles prêtes à l'emploi – pas moins de 1 500 bots étaient répertoriés sur la plateforme. En effet, comme l'explique le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol – qui a participé à l'enquête depuis 2017 –, les utilisateurs "recevaient un navigateur Web personnalisé qui reproduisait à la perfection celui de la victime. Cela leur permettait de ne pas déclencher d'alertes de sécurité sur la plateforme corrompue", comme le rapporte Le Parisien.
Grâce à Genesis Market, les clients pouvaient récupérer des adresses mail, des identifiants et des mots de passe, comme souvent, mais aussi des cookies, des empreintes digitales, des historiques de connexions, les adresses IP, les informations sur le système d'exploitation et les plug-in et des données de remplissage automatique de formulaires ! Un incroyable butin permettant de se livrer, surtout si on les combine à des malwares, à toutes sortes d'usurpations d'identités, de piratages et d'escroqueries. Pire encore, ces informations étaient collectées en temps réel, les hackers étant même avertis de tout changement de mot de passe ou de paramètre sur les comptes de leurs victimes ! Bien évidemment, toutes ces informations permettaient aux pirates de contourner les protections différentes plateformes – y compris bancaires ! –, où la reconnaissance d'un lieu de connexion, d'une empreinte digitale de navigateur ou d'un système d'exploitation différent peut entrainer le blocage temporaire de l'accès en attendant que l'internaute ait bien prouvé son identité.
Genesis Market : la porte d'entrée à la cybercriminalité
Mais ce qui fait de Genesis Market un lieu incontournable de la cybercriminalité, c'est son accessibilité. Déjà, contrairement à d'autres places de marché criminelles, Genesis Market était accessible sur le Web ouvert et proposait des prix bon marché – les bots les moins sophistiqués coûtaient moins de un dollar. De quoi faciliter l'entrée dans le monde de la cybermalveillance ! Pour aider les néophytes qui auraient peu de bagages techniques, le marché noir proposait même une formule d'abonnement et des outils pour faciliter l'utilisation des données achetées, comme le révélait l'enquête de Sophos. Les pirates disposaient d'un navigateur Web spécifique, nommé Genesis Security, qui permettait au bot de charger les informations destinées à tromper la vigilance des plateformes.
Parmi les cibles privilégiées des bots, on trouve Amazon, Gmail, eBay, Facebook, LinkedIn, Netflix, Spotify, WordPress, PayPal, Reddit, Cloudflare, Twitter et Zoom. D'ailleurs, selon Europol, "il y a de fortes chances que vos informations d'identification aient déjà été mises en vente" sur Genesis Market. La police néerlandaise a donc mis à disposition un portail permettant de vérifier si vos informations ont été compromises. Il suffit d'aller sur le site https://www.politie.nl/checkyourhack et d'indiquer votre adresse électronique pour vérifier si elle fait partie d'une fuite sur Genesis Market.
Démantèlement de Genesis Market : une opération coordonnée dans 17 pays
Tous les noms de domaines du forum ont été saisis grâce à la coopération internationale des forces de l'ordre, Europol et le FIB ayant collaboré avec la police d'Australie, du Canada, d'Allemagne, de Pologne et de Suède. Selon Le Parisien, cette opération sans précédent aurait conduit à l'arrestation par la police judiciaire de trois Français en Île-de-France et dans la région lyonnaise. Notons que les propriétaires de Genesis Market n'ont pas encore été interpellés par les autorités.
"Nous avons gravement perturbé l'écosystème cybercriminel en supprimant l'un de ses principaux catalyseurs", s'est réjoui Edvardas Sileris, qui dirige le Centre européen de lutte contre la cybercriminalité d'Europol. De son côté, John Fokker, chef des renseignements sur la menace du centre de recherches de l'entreprise de cybersécurité Trellix – qui a participé au démantèlement de Genesis Market – explique que le démantèlement "aura un impact significatif sur les activités des cybercriminels dans les mois à venir. En effet, cette plateforme a permis à de nombreux cybercriminels de faire leur entrée dans le monde de la cybercriminalité, tandis que d'autres ont pu accélérer leurs opérations et réaliser des attaques ciblées permettant d'obtenir rapidement des gains financiers. Au-delà de l'arrestation des individus derrière Genesis Market, la mise à pied de la plateforme entraînera donc nécessairement une diminution des activités cybercriminelles." Mais une autre plateforme pourrait rapidement prendre le relais, car Internet est comme une hydre : lorsque l'on coupe une tête, deux repoussent...