La plateforme « Genesis Market » de revente d’identifiants piratés a été démantelée
Cookie Monster
Le 06 avril 2023 à 06h43
7 min
Droit
Droit
Les polices de 17 pays viennent de démanteler l'une des principales et des plus innovantes des places de marché noir de revente de données personnelles piratées. Genesis Market volait et revendait en effet les identifiants et « fingerprints » des navigateurs web de ses victimes.
« Une opération policière sans précédent » ayant mobilisé 17 pays (dont la France) a permis de démanteler la place de marché Genesis Market qui, au moment de son démantèlement, commercialisait plus de 1,5 million de « bots » totalisant plus de 2 millions d'identifiants volés, se félicitent Europol et le département de la Justice états-uniens.
Ces « bots » commercialisés sur Genesis Market, de 70 centimes à plusieurs centaines de dollars, avaient en effet infecté les appareils des victimes par le biais de logiciels malveillants, permettant à leurs acquéreurs d'accéder aux « fingerprints » de leurs navigateurs web, cookies, identifiants et données sauvegardées dans les formulaires de saisie automatique. Les données étant collectées en temps réel, les acheteurs étaient en outre informés de tout changement de mot de passe, etc. :
« Les criminels qui achetaient ces robots spéciaux recevaient non seulement les données volées, mais aussi les moyens de les utiliser. Les acheteurs recevaient un navigateur personnalisé qui imitait celui de leur victime. Les criminels pouvaient ainsi accéder au compte de leur victime sans déclencher aucune des mesures de sécurité de la plateforme sur laquelle se trouvait le compte. »
Menée par le FBI et la police nationale néerlandaise (Politie), l'opération « Cookie Monster » a non seulement entraîné la saisie de son serveur, mais également permis de procéder à 208 perquisitions, 119 arrestations et 97 mesures d'interpellation dans 13 pays, dont trois Français dans la région lyonnaise, indique Le Parisien.
Plus de 1,5 million d'ordinateurs compromis dans le monde entier
Depuis son lancement en 2018, Genesis Market aurait trafiqué des données volées à plus de 1,5 million d'ordinateurs compromis dans le monde entier, contenant plus de 80 millions d'identifiants d'accès tels que des noms d'utilisateur et des mots de passe pour le courrier électronique, les comptes bancaires et les médias sociaux :
« Genesis Market était également l'un des courtiers en accès initial (Initial Access Brokers, IAB) les plus prolifiques du monde de la cybercriminalité. Les IAB attirent les criminels qui cherchent à infiltrer facilement le système informatique d'une victime [...] et des rapports publiés par le secteur privé indiquent qu'ils ont effectivement été utilisés par les acteurs des ransomwares pour attaquer ces systèmes. »
Le journaliste spécialisé Brian Krebs précise que ses clients « pouvaient rechercher des systèmes infectés à l'aide de diverses options, notamment par adresse Internet ou par noms de domaine spécifiques associés à des informations d'identification volées » :
« Lorsque les clients de Genesis achètent un bot, ils achètent la possibilité de charger dans leur navigateur tous les cookies d'authentification de la victime, ce qui permet d'accéder aux comptes en ligne de cette dernière sans mot de passe et, dans certains cas, sans authentification multifactorielle. »
Genesis proposait même un Wiki expliquant son fonctionnement à ses nouveaux utilisateurs, souligne The Record, qui relève aussi que le recours aux fingerprints permettait de pouvoir se connecter directement à un site web depuis n'importe quelle adresse IP, et sans double authentification, sans que cela ne déclenche le type d'alerte que l'on reçoit d'ordinaire lorsqu'un tiers cherche à se connecter depuis une nouvelle adresse IP ou un nouveau terminal.
Pirater un compte sans nom d'utilisateur ni mot de passe
« Vous pouvez acheter un robot avec une véritable empreinte numérique [fingerprint, NDLR], un accès au courrier électronique, aux réseaux sociaux, aux comptes bancaires, aux systèmes de paiement », vantait une annonce de Genesis sur un forum dédié à la cybercriminalité :
« La plupart des services ne vous demanderont même pas votre nom d'utilisateur et votre mot de passe et vous identifieront comme leur client habituel. En achetant un kit de robot avec la fingerprint, les cookies et les accès, vous devenez l'utilisateur unique de tous ses services et autres sites web. L'autre utilisation de notre kit d'empreintes numériques réelles est de dissimuler les traces de votre activité réelle sur Internet. »
Krebs souligne que « les dix bots les plus coûteux à l'époque incluaient tous des identifiants Coinbase », la plus importante plateforme légale d'échange de cryptoactifs aux États-Unis, et que Genesis, auquel on ne pouvait accéder que sur invitation, et donc cooptation, était l'un des acteurs majeurs du marché noir de revente de données piratées.
Ses administrateurs se présentaient comme des experts possédant une « vaste expérience dans le domaine de la métrologie des systèmes », ayant analysé « les quarante-sept principaux systèmes de fingerprints et de suivi des navigateurs, ainsi que ceux utilisés par 283 systèmes bancaires et de paiement différents » :
« Genesis Market a introduit un certain nombre d'innovations cybercriminelles tout au long de son existence. Le meilleur exemple est probablement Genesis Security, un plugin de navigateur Web personnalisé qui peut charger un profil de bot Genesis de sorte que le navigateur imite pratiquement tous les aspects importants de l'appareil de la victime, depuis la taille de l'écran et le taux de rafraîchissement jusqu'à l'"user agent" unique liée au navigateur Web de la victime. »
10 dollars seulement pour accéder au Slack d'une entreprise
En juin 2021, les pirates informatique ayant dérobé des codes source du géant du jeu vidéo Electronic Arts avaient ainsi déclaré à Motherboard y être parvenu « en achetant à Genesis Market un bot à 10 dollars qui leur permettait de se connecter à un compte Slack de l'entreprise ».
Genesis permettait en effet de montrer aux acquéreurs potentiels les sites auxquels les bots permettaient d'accéder, l'un d'entre eux permettant par exemple d'acquérir « 5 000 cookies [...] aussi divers que Facebook, Spotify, Reddit, Pinterest, Apple, Netflix, Binance, GitHub, Steam, Instagram, Adobe, Amazon, Google, Tumblr, Twitter, Dropbox, PayPal, LinkedIn, NvidiaStore, EANetwork et Slack ». À l'époque, une recherche sur le seul Slack renvoyait à « plus de 3 500 résultats ».
La police néerlandaise évoque le cas d'une victime de 71 ans qui a perdu près de 70 000 euros du fait de commandes passées en son nom sur des boutiques en ligne, et de la création de plusieurs comptes bancaires ouverts eux aussi en son nom.
Elle propose également de vérifier si ses données auraient été compromises, en entrant son adresse e-mail sur https://www.politie.nl/checkyourhack. Pour éviter que des tiers n'en soient tenus informés, seules les personnes dont les données auraient été piratées recevront un e-mail de confirmation.
Les identifiants des victimes obtenus au cours de l'enquête ont également été fournis au site web Have I Been Pwned, qui permet de vérifier quelles adresses e-mail auraient été compromises. En raison de l'extrême sensibilité des données de Genesis, le site ne permet pas de savoir quelles adresses e-mail auraient été compromises, afin d'éviter que des tiers n'en soient tenus informés. Il est cela dit possible d'inscrire son ou ses adresses mails à son service gratuit de notification, qui vous alertera en cas de compromission.
Troy Hunt, son créateur, rappelle sur son blog que les empreintes (« fingerprints ») de nos navigateurs sont bien souvent uniques (cf le test de https://amiunique.org/), ce pourquoi ils sont de plus en plus utilisés par les régies publicitaires, mais donc aussi par des pirates informatiques, afin de pouvoir voler des sessions.
Il donne enfin un « petit coup de chapeau » à la personne qui, au FBI, a placé un cookie à moitié mangé sur le poster d'annonce du démantèlement de Genesis Market et, à l'instar d'Europol et de la police néerlandaise (mais pas du FBI, étrangement), rappelle les mesures à prendre en cas d'infection par l'un de ses malwares.
Trellix et Computest, de leur côté, reviennent tous deux plus en détail sur les aspects techniques de l'extension Chromium permettant de faciliter les usurpations d'identité, ainsi que des malwares utilisés par Genesis Market, qui serait lié à l'écosystème cybercriminel russophone.
La plateforme « Genesis Market » de revente d’identifiants piratés a été démantelée
-
Plus de 1,5 million d'ordinateurs compromis dans le monde entier
-
Pirater un compte sans nom d'utilisateur ni mot de passe
-
10 dollars seulement pour accéder au Slack d'une entreprise
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/04/2023 à 07h16
Tiens, j’ai hâte d’entendre les habituels “ahaha le MFA pour avoir mon numéro de téléphone ? Jamais ! Moi j’ai un mot de passe ultra sécurisé, impossible à trouver héhé”
Le 06/04/2023 à 07h52
Vraiment très ingénieux. Nos pirates ont du talent (et un gros pouvoir de nuisance).
Le 06/04/2023 à 07h53
Ahaha le MFA pour avoir mon numéro de téléphone ? Jamais !
Moi j’ai un mot de passe ultra sécurisé, impossible à trouver héhé
Le 06/04/2023 à 10h04
Du coup, il l’a lu et pas entendu…
Le 06/04/2023 à 08h59
Ahaha le MFA pour avoir mon numéro de téléphone ? Jamais !
Moi j’ai un mot de passe ultra sécurisé, impossible à trouver héhé
Le 06/04/2023 à 09h25
Merci pour cet article.
Le rapport simplicité de mise en œuvre / dégâts occasionnés de cette ex-plateforme est impressionnante.
De ce que j’en ai compris, il fallait que l’ordinateur de la victime soit piraté, c’est bien ça ?
Le 06/04/2023 à 13h07
Quand on voit le faible nombre de tests effectués sur ce site, difficile de ne pas être unique.
Edit : ils ont fait des progrès : maintenant, si je fais le test 2 fois de suite, la 2ème fois je ne suis plus unique ^^
Le 06/04/2023 à 13h40
Et croire qu’une MFA va te protégé de tout… Linus en a fait les frais recement, très bon exemple recent : YouTube
Soyez parano sur tout ce qui est raccordé au net !
Le 06/04/2023 à 15h55
Sans regarder toute ta vidéo, je pense que c’est exactement la démonstration qu’il faut pour promouvoir le MFA (et pas le 2FA). Un (mauvais) phishing passe, et une identité se fait compromettre avec impact business ? Mais c’est exactement pourquoi il faut du MFA, avec de l’accès conditionnel, pour enrayer ce genre de propagation.
C’est d’ailleurs bizarre que le cookie Youtube puisse être réutilisé sans générer une alerte de type voyage impossible.
Mais tu as raison, le MFA ne protège pas de tout, seulement le périmètre identité, et là, à première vue, ça me semble être un bon cas d’école d’une mauvaise configuration mail + poste + identité.