La plateforme « Genesis Market » de revente d’identifiants piratés a été démantelée

Les polices de 17 pays viennent de démanteler l'une des principales et des plus innovantes des places de marché noir de revente de données personnelles piratées. Genesis Market volait et revendait en effet les identifiants et « fingerprints » des navigateurs web de ses victimes.

« Une opération policière sans précédent » ayant mobilisé 17 pays (dont la France) a permis de démanteler la place de marché Genesis Market qui, au moment de son démantèlement, commercialisait plus de 1,5 million de « bots » totalisant plus de 2 millions d'identifiants volés, se félicitent Europol et le département de la Justice états-uniens. 

Ces « bots » commercialisés sur Genesis Market, de 70 centimes à plusieurs centaines de dollars, avaient en effet infecté les appareils des victimes par le biais de logiciels malveillants, permettant à leurs acquéreurs d'accéder aux « fingerprints » de leurs navigateurs web, cookies, identifiants et données sauvegardées dans les formulaires de saisie automatique. Les données étant collectées en temps réel, les acheteurs étaient en outre informés de tout changement de mot de passe, etc. :

« Les criminels qui achetaient ces robots spéciaux recevaient non seulement les données volées, mais aussi les moyens de les utiliser. Les acheteurs recevaient un navigateur personnalisé qui imitait celui de leur victime. Les criminels pouvaient ainsi accéder au compte de leur victime sans déclencher aucune des mesures de sécurité de la plateforme sur laquelle se trouvait le compte. »

Menée par le FBI et la police nationale néerlandaise (Politie), l'opération « Cookie Monster » a non seulement entraîné la saisie de son serveur, mais également permis de procéder à 208 perquisitions, 119 arrestations et 97 mesures d'interpellation dans 13 pays, dont trois Français dans la région lyonnaise, indique Le Parisien.

Plus de 1,5 million d'ordinateurs compromis dans le monde entier

Depuis son lancement en 2018, Genesis Market aurait trafiqué des données volées à plus de 1,5 million d'ordinateurs compromis dans le monde entier, contenant plus de 80 millions d'identifiants d'accès tels que des noms d'utilisateur et des mots de passe pour le courrier électronique, les comptes bancaires et les médias sociaux : 

« Genesis Market était également l'un des courtiers en accès initial (Initial Access Brokers, IAB) les plus prolifiques du monde de la cybercriminalité. Les IAB attirent les criminels qui cherchent à infiltrer facilement le système informatique d'une victime [...] et des rapports publiés par le secteur privé indiquent qu'ils ont effectivement été utilisés par les acteurs des ransomwares pour attaquer ces systèmes. »

Le journaliste spécialisé Brian Krebs précise que ses clients « pouvaient rechercher des systèmes infectés à l'aide de diverses options, notamment par adresse Internet ou par noms de domaine spécifiques associés à des informations d'identification volées » : 

« Lorsque les clients de Genesis achètent un bot, ils achètent la possibilité de charger dans leur navigateur tous les cookies d'authentification de la victime, ce qui permet d'accéder aux comptes en ligne de cette dernière sans mot de passe et, dans certains cas, sans authentification multifactorielle. »

Genesis proposait même un Wiki expliquant son fonctionnement à ses nouveaux utilisateurs, souligne The Record, qui relève aussi que le recours aux fingerprints permettait de pouvoir se connecter directement à un site web depuis n'importe quelle adresse IP, et sans double authentification, sans que cela ne déclenche le type d'alerte que l'on reçoit d'ordinaire lorsqu'un tiers cherche à se connecter depuis une nouvelle adresse IP ou un nouveau terminal.

Pirater un compte sans nom d'utilisateur ni mot de passe

« Vous pouvez acheter un robot avec une véritable empreinte numérique [fingerprint, NDLR], un accès au courrier électronique, aux réseaux sociaux, aux comptes bancaires, aux systèmes de paiement », vantait une annonce de Genesis sur un forum dédié à la cybercriminalité : 

« La plupart des services ne vous demanderont même pas votre nom d'utilisateur et votre mot de passe et vous identifieront comme leur client habituel. En achetant un kit de robot avec la fingerprint, les cookies et les accès, vous devenez l'utilisateur unique de tous ses services et autres sites web. L'autre utilisation de notre kit d'empreintes numériques réelles est de dissimuler les traces de votre activité réelle sur Internet. »

Krebs souligne que « les dix bots les plus coûteux à l'époque incluaient tous des identifiants Coinbase », la plus importante plateforme légale d'échange de cryptoactifs aux États-Unis, et que Genesis, auquel on ne pouvait accéder que sur invitation, et donc cooptation, était l'un des acteurs majeurs du marché noir de revente de données piratées. 

Ses administrateurs se présentaient comme des experts possédant une « vaste expérience dans le domaine de la métrologie des systèmes », ayant analysé « les quarante-sept principaux systèmes de fingerprints et de suivi des navigateurs, ainsi que ceux utilisés par 283 systèmes bancaires et de paiement différents » : 

« Genesis Market a introduit un certain nombre d'innovations cybercriminelles tout au long de son existence. Le meilleur exemple est probablement Genesis Security, un plugin de navigateur Web personnalisé qui peut charger un profil de bot Genesis de sorte que le navigateur imite pratiquement tous les aspects importants de l'appareil de la victime, depuis la taille de l'écran et le taux de rafraîchissement jusqu'à l'"user agent" unique liée au navigateur Web de la victime. »

10 dollars seulement pour accéder au Slack d'une entreprise

En juin 2021, les pirates informatique ayant dérobé des codes source du géant du jeu vidéo Electronic Arts avaient ainsi déclaré à Motherboard y être parvenu « en achetant à Genesis Market un bot à 10 dollars qui leur permettait de se connecter à un compte Slack de l'entreprise ».

Genesis permettait en effet de montrer aux acquéreurs potentiels les sites auxquels les bots permettaient d'accéder, l'un d'entre eux permettant par exemple d'acquérir « 5 000 cookies [...] aussi divers que Facebook, Spotify, Reddit, Pinterest, Apple, Netflix, Binance, GitHub, Steam, Instagram, Adobe, Amazon, Google, Tumblr, Twitter, Dropbox, PayPal, LinkedIn, NvidiaStore, EANetwork et Slack ». À l'époque, une recherche sur le seul Slack renvoyait à « plus de 3 500 résultats ».

La police néerlandaise évoque le cas d'une victime de 71 ans qui a perdu près de 70 000 euros du fait de commandes passées en son nom sur des boutiques en ligne, et de la création de plusieurs comptes bancaires ouverts eux aussi en son nom.

Elle propose également de vérifier si ses données auraient été compromises, en entrant son adresse e-mail sur https://www.politie.nl/checkyourhack. Pour éviter que des tiers n'en soient tenus informés, seules les personnes dont les données auraient été piratées recevront un e-mail de confirmation.

Les identifiants des victimes obtenus au cours de l'enquête ont également été fournis au site web Have I Been Pwned, qui permet de vérifier quelles adresses e-mail auraient été compromises. En raison de l'extrême sensibilité des données de Genesis, le site ne permet pas de savoir quelles adresses e-mail auraient été compromises, afin d'éviter que des tiers n'en soient tenus informés. Il est cela dit possible d'inscrire son ou ses adresses mails à son service gratuit de notification, qui vous alertera en cas de compromission.

Troy Hunt, son créateur, rappelle sur son blog que les empreintes (« fingerprints ») de nos navigateurs sont bien souvent uniques (cf le test de https://amiunique.org/), ce pourquoi ils sont de plus en plus utilisés par les régies publicitaires, mais donc aussi par des pirates informatiques, afin de pouvoir voler des sessions.

Il donne enfin un « petit coup de chapeau » à la personne qui, au FBI, a placé un cookie à moitié mangé sur le poster d'annonce du démantèlement de Genesis Market et, à l'instar d'Europol et de la police néerlandaise (mais pas du FBI, étrangement), rappelle les mesures à prendre en cas d'infection par l'un de ses malwares.

Trellix et Computest, de leur côté, reviennent tous deux plus en détail sur les aspects techniques de l'extension Chromium permettant de faciliter les usurpations d'identité, ainsi que des malwares utilisés par Genesis Market, qui serait lié à l'écosystème cybercriminel russophone.