Genesis, l'icône déchue du darknet
Le 4 avril dernier est à marquer d'une pierre blanche dans l'histoire de la cybercriminalité. Ce jour-là est lancée l'opération Cookie Monster. 17 pays y participent. Surtout, 120 cybercriminels sont arrêtés autour du globe. Une force de frappe tournée vers un seul objectif : récupérer 80 millions de données personnelles comprenant des accès à des comptes sur les réseaux sociaux, des cartes bancaires, des pièces d'identité et des "finger print". Un "butin" qui impactait 2 millions de personnes dans le monde, détenu par les membres d'un groupe cybercriminel atypique, connu sous le nom de Genesis.
La genèse, l'origine de tout dans la bible et la torah… Le choix de ce nom n'est pas dû au hasard. Les membres de Genesis se voient comme l'alpha et l'oméga du monde cybercriminel. Et c'est vrai qu'ils étaient au sommet : jusqu'au coup de filet, leur marketplace était la première du darknet en matière de revente d'identités volées. Mais comment une poignée de cybercriminels a-t-elle pu atteindre un tel niveau ?
Un forum-marketplace
"Contrairement aux autres marketplaces du darknet, il fallait être parrainé pour accéder à Genesis. Donc on devait sympathiser avec une personne possédant un grade assez élevé au sein du forum pour pouvoir y rentrer. Ce n'était pas facile mais ce n'était pas impossible", explique Matthieu Dierick, expert cybersécurité chez F5.
Mais Genesis n'était pas un simple forum, c'était aussi une marketplace ainsi qu'un centre de commandement qui permettait de piloter des malwares." Contrairement aux autres marketplaces, Genesis n'a pas donné priorité à la drogue mais aus data. Comme ils le disaient : la data est notre pétrole", poursuit Matthieu Dierick.
Pour comprendre l'importance de Genesis, il faut analyser la façon dont fonctionnait chez eux une cyberattaque. Tout en bas, les petites mains scannaient le net à la recherche de cibles. Une fois leur récolte terminée, elles la revendaient à une plus grande main qui elle-même rescannait l'ensemble des datas achetés. Et les essayait, pour vérifier si ces données permettaient d'accéder à des comptes. Après cette étape et une fois purgées, les données étaient à nouveau revendues, dans un état plus exploitable que lors de leur achat, et ainsi de suite. A la fin de ce processus, on obtenait une donnée utile pour l'attaque.
Au final, plus vous étiez haut en grade au sein du forum, meilleure était la donnée à laquelle vous pouviez accéder. Le saint des saints était la " finger print", grâce à laquelle on peut accéder à tous les codes d'un profil d'un utilisateur sur un navigateur web. Cette culture a protégé Genesis et lui a permis d'obtenir de nombreuses "finger print", et cela en quatre ans d'existence. Sachant que Genesis prenait une taxe sur ses ventes, ce qui explique la bonne maintenance du site.
Une mise à mort, vraiment ?
L'arrestation de plusieurs de ses membres a porté un coup dur à Genesis mais ne l'a pas mis à terre. "Les forces de police ont arrêté plusieurs leaders dont l'un, russophone, qui se cachait dans la ville de Grimsby en Angleterre. Les forces de sécurité se sont concentrées sur les leaders, grandes mains, et les capo, dits moyennes mains. Les grandes mains se connaissent entre elles physiquement et gèrent l'argent, les moyennes mains s'occupent des serveurs, les petites mains ne contrôlent rien. Actuellement, les moyennes mains sont en état d'alerte mais le site commence déjà à remonter sur le darknet", précise Matthieu Dierick.
Genesis n'est donc pas mort. Certaines moyennes mains ayant survécu à l'opération Cookie Monster, les serveurs sont toujours saufs, ce qui explique pourquoi un site de secours réservé aux seuls membres est toujours en ligne sur le darknet. Ces serveurs sont très difficiles à trouver car ils se camouflent dans des cloud légaux.
Mais il s'agit tout de même d'une victoire pour les forces de police. "L'organisation est gravement impactée, on a arrêté toutes les rockstars, ceux qui ont créé la marque Genesis. Et sans ce savoir-faire, la marketplace risque de ne pas fonctionner aussi bien. Mais il y a une inconnue, nous ne savons pas si Genesis possède un plan de reprise d'activité. Si oui, le site va vite remonter. A l'inverse, il pourrait plonger", conclut Matthieu Dierick.