Opération Cookie monster

L’Opération cookie monster qui a abouti, mardi 4 avril, au démantèlement du site Genesis Market a porté un coup dur à l’un des principaux ressorts de la cybercriminalité : l’usurpation d’identité en ligne. L’un des acteurs de cette opération revient pour France 24 sur les détails et sur les implications de la fin annoncée de ce supermarché des identités numériques.

C’était une action d’envergure pour un gros poisson. Les polices de quatorze pays - dont la France - ont mené une vaste opération, mardi 4 avril, pour démanteler le réseau de cybercriminalité autour du site Genesis Market. Résultat de coup de filet baptisée "Operation cookie monster" : plus de 110 arrestations et la saisine du site par les autorités américaines.

"Depuis sa création en 2018, la plateforme Genesis Market a permis à ses clients d’accéder à plus de 80 millions d’identifiants de comptes trouvés sur plus d’1,5 million d’ordinateurs piratés dans le monde", a précisé le FBI dans un communiqué publié mercredi 5 avril.

Boutique de luxe pour usurpation d'identités

C’est donc un acteur majeur de l’écosystème de la cybercriminalité internationale qui disparait. "Le plus populaire du genre", indique la société d’analyse d’activité malicieuse en ligne Netecea, dans une étude parue en 2021. Genesis Market vendait ses marchandises illégales à près de 60 000 fidèles clients. À titre de comparaison, Silk Road, le plus important supermarché de la drogue en ligne, qui s'adresse à un public beaucoup plus large, comptait un peu moins de 100 000 membres peu avant d’être saisi par le FBI en 2013.

Genesis Market occupait aussi un créneau beaucoup plus spécialisé que Silk Road. Il vendait des kits clés en main pour "usurper l’identité en ligne de millions d’internautes", explique John Fokker, chef des renseignements sur la menace du centre de recherches de l’entreprise de cybersécurité Trellix, qui a collaboré à l’opération internationale pour en finir avec Genesis.

Cette plateforme s’apparentait à un supermarché pour obtenir l’accès à des comptes Netflix, PayPal, Amazon, Binance et une longue liste de sites financiers. "Il y a beaucoup d’autres sites qui se positionnent sur un créneau similaire, mais la plupart du temps, il y a pas mal de plaintes au sujet d’identifiants qui ne fonctionnent pas. Avec Genesis Market, ce genre de problème semblait très rare", note John Fokker.

Genesis était un peu la boutique de luxe dans un monde de grandes surfaces de la cybercriminalité. "Ils ont fait plus que le nécessaire pour assurer le service client", résume John Fokker. Les responsables de la plateforme avaient ainsi, par exemple, mis au point une navigateur internet spécifique permettant à leurs clients d’utiliser plus facilement et discrètement les outils et identifiants achetés sur le site.

Genesis ne se contentait par ailleurs pas de proposer des identifiants et des mots de passe. Cet e-commerçant livrait aussi les cookies nécessaires pour que le site auquel l’usurpateur tentait de se connecter croit réellement avoir affaire à son client légitime. Les cookies stockent en effet toutes les informations de navigation nécessaire à un site pour identifier qui cherche à se connecter, ce qui "peut être très utile à un cybercriminel pour contourner l’obstacle de la double identification", note John Fokker. Si le cookie est toujours actif, le site ciblé ne va pas avoir de raison d’utiliser l’une des méthodes de double identification, comme envoyer une demande de confirmation par SMS.

Démocratisation du piratage informatique

Les logiciels malveillants utilisés par Genesis pour aller voler les données d’identifications restaient aussi en place sur les ordinateurs piratés afin de pouvoir dérober des mots de passe dès qu’ils étaient mis à jour. Conséquence : les clients de Genesis avaient la garantie de posséder toujours la dernière version des identifiants nécessaires.

C’est ainsi que Genesis s’était imposé au fil des ans comme un rouage essentiel de la boîte à outils de la criminalité en ligne. En effet, le vol d’identifiants peut sembler plus anodin que la vente de drogue en ligne ou le commerce de virus informatique, mais "il ne faut pas oublier que la majorité des attaques informatiques reposent d’abord sur la capacité de l’assaillant à entrer dans le système informatique de la cible en se faisant passer pour quelqu’un d’autre", souligne John Fokker.

Genesis Market avait aussi participé à une certaine démocratisation du piratage informatique. "Le site rendait le processus très simple et à la portée de tous", a assuré à la chaîne BBC Robert Jones, le directeur du National Economic Crime Centre britannique (Centre national de lutte contre le crime économique). Les cybercriminels débutants y trouvaient tout ce qu’il fallait pour se lancer dans le grand bain de la fraude en ligne.

La société Trellix a par ailleurs elle aussi réussi à neutraliser les logiciels malveillants utilisés par Genesis. "La police néerlandaise avec qui nous avons collaboré a pu trouver, chez l’une des victimes, des fichiers informatiques contenant les codes malveillants que nous avons pu analyser et contrer", note John Fokker. Autrement dit, des outils qui auraient pu continuer à être utilisés par les cybercriminels même après la chute de Genesis sont également devenus inutiles.

Le roi est mort vive le roi ?

Pour autant, ce n’est pas la fin de la guerre contre ce type de marchés pour cybercriminels. D’abord parce que "les créateurs du site n’ont pas été appréhendés", note John Fokker. Ils pourraient être tentés de rebâtir leur empire.

Ensuite, si Genesis était l’incontestable numéro 1… il y avait aussi un numéro 2. Le principal concurrent du roi déchu, appelé Russian Market, devrait remplir le vide laissé.

Enfin, l’annonce de la mort définitive de Genesis est peut-être un peu prématurée. L’opération a permis de fermer le site accessible depuis le web "pour tous", c’est-à-dire qu’on pouvait trouver en utilisant n’importe quel navigateur. Mais il "reste une version du site sur le 'deep web'", note John Fokker. Il s’agit de toutes les pages internet qui ne sont pas référencées par Google et auxquelles on ne peut accéder qu’en utilisant un navigateur spécifique.

Beaucoup de bruit pour pas grand-chose, alors ? Cela reste un coup dur pour ce milieu, assure John Fokker. D’abord parce que les autorités ont pu accéder à des fichiers clients, et les arrestations de mardi pourraient n’être que les premières d’une longue liste.

Ensuite parce que "ce genre d’opérations réduit la confiance que les clients vont avoir pour ce type de site", note John Fokker. Il restera toujours un noyau dur d’utilisateurs, mais plus les autorités vont réussir à fermer des sites comme Genesis, moins le commun des cybercriminels va être tenté d’y avoir recours, de peur de se faire attraper aussi.

