Europol a annoncé, mercredi 5 avril, la fermeture de l’une des plus grandes plates-formes de revente de données volées. Ce coup de filet mondial, qui visait la plate-forme Genesis Market, s’est traduit par 119 arrestations et a impliqué plus de dix-sept pays, dont la France, a précisé Europol dans un communiqué.
Genesis s’était imposé, en quelques années, comme une plate-forme majeure du marché noir en ligne, en devenant un des lieux privilégiés pour acheter et vendre des accès frauduleux. Si de nombreux sites permettent d’acheter et vendre des mots de passe pour tenter de se connecter frauduleusement à une boîte e-mail, un compte Facebook ou autre, Genesis avait poussé le niveau de sophistication encore plus loin.
Des méthodes poussées
Aujourd’hui, même en volant le mot de passe d’une messagerie, il peut être difficile de l’utiliser du fait des protections mises en place par les plates-formes. Ainsi, une connexion à Gmail ou à un service bancaire depuis un pays à l’autre bout du monde va, dans certains cas, déclencher une alerte et des vérifications supplémentaires sur l’identité de l’utilisateur. Mais bien plus que de simples mots de passe, la plate-forme Genesis vendait des données et des outils permettant d’usurper l’identité numérique de la victime, en proposant par exemple une extension de navigateur qui permettait d’imiter les données de navigation de la victime, et de faire croire à Google ou Facebook, par exemple, que l’on est bien le propriétaire du compte auquel on souhaite se connecter. Cette technique s’appuie aussi bien sur des cookies de session que sur d’autres données relatives à la victime (par exemple le lieu de connexion ou les données techniques de son ordinateur).
Comme le note l’entreprise spécialisée Trellix, qui dit avoir été consultée par les autorités, le marché de Genesis était principalement alimenté par des données volées avec des stealers, une famille de virus conçus spécifiquement pour infecter une machine et récupérer des informations de connexion, en ciblant en particulier les données liées aux navigateurs Web de leurs victimes. Lorsqu’un ordinateur est infecté, le stealer va chercher à obtenir les cookies et données de connexion enregistrés pour de nombreux sites, des messageries aux comptes sur les réseaux sociaux, en passant par Netflix et les identifiants de plates-formes de jeu en ligne.
Dans son communiqué, Europol explique que l’enquête sur Genesis a été ouverte en 2019. « Nous avons gravement perturbé l’écosystème cybercriminel en supprimant l’un de ses principaux catalyseurs », s’est félicité Edvardas Sileris, qui dirige le Centre européen de lutte contre la cybercriminalité d’Europol, cité dans le communiqué. Deux cent huit propriétés ont été perquisitionnées au cours de cette opération « sans précédent », réalisée par le FBI et la police néerlandaise. Les premiers messages faisant la promotion de Genesis étaient apparus en ligne à la fin de l’année 2018 sur différents forums dédiés aux activités cybercriminelles.
Arrestations en France
Vingt-quatre arrestations ont eu lieu au Royaume-Uni, selon l’agence britannique de lutte contre la criminalité, et dix-sept aux Pays-Bas, a précisé la police néerlandaise. Des actions ont également eu lieu dans des pays comme l’Australie, le Canada, les Etats-Unis et plus de dix pays européens. En France, trois personnes ont été interpellées dans le cadre de cette enquête, a confirmé au Monde le parquet de Paris.
« Genesis Market avait mis en vente l’identité de plus de 2 millions de personnes au moment de sa fermeture », a souligné l’office de police européen. La plate-forme proposait à la vente des « bots » qui infectaient les appareils des victimes par le biais de logiciels malveillants ou d’autres méthodes.
Les autorités néerlandaises, partenaires de cette enquête internationale, ont mis en place (en anglais), sur le site de la police, un formulaire pour vérifier si son adresse e-mail fait partie des données saisies sur Genesis.
Contribuer
Réutiliser ce contenu
