Genesis Market : la boutique qui vendait tout votre navigateur
Genesis Market empaquetait empreintes de navigateur, cookies et mots de passe des victimes en bots contournant la MFA, jusqu'à l'opération Cookie Monster d'avril 2023.
La plupart des boutiques de données volées vendaient des fragments — un numéro de carte par-ci, un mot de passe par-là. Genesis Market vendait quelque chose de plus complet et de plus sinistre : la victime elle-même, reconstituée.
Des bots que l'on porte comme un costume
Le produit s'appelait un bot, mais n'avait rien à voir avec l'automatisation. Chaque bot était une identité numérique capturée : empreinte de navigateur, cookies de session enregistrés, identifiants stockés et détails de l'appareil, le tout réuni en un seul lot. Un acheteur pouvait les charger dans une extension de navigateur dédiée et apparaître, aux yeux d'un site, comme le véritable titulaire du compte — même empreinte, même session active. La session étant déjà authentifiée, l'authentification multifacteur était souvent tout simplement ignorée. Le marché rafraîchissait même ses bots, maintenant l'identité volée à jour au fil de la navigation de la victime.
L'opération Cookie Monster
Au moment de sa chute, Genesis répertoriait des centaines de milliers de bots liés à environ deux millions de victimes. En avril 2023, une action internationale menée par le FBI, baptisée opération Cookie Monster et coordonnée avec Europol et des partenaires de plus d'une douzaine de pays, saisit le marché et arrêta des utilisateurs dans le monde entier. L'infrastructure qui rendait l'usurpation sans effort fut mise hors ligne en une seule frappe synchronisée. Les enquêteurs saisirent aussi les données derrière les annonces, obtenant une liste de comptes compromis à alerter et une carte de qui avait acheté quoi. Pour une fois, la tenue méticuleuse des registres du marché se retourna contre ceux qu'il avait servis.
Ce dont la chronique se souvient
Genesis Market a marqué un tournant dans ce que signifiait le vol en ligne. Le butin n'était plus un mot de passe à craquer, mais une session vivante à habiter, assez complète pour franchir les défenses bâties précisément pour l'arrêter. Son démantèlement a montré que même une identité vendue en entier laisse une trace, et que le cookie — petit, invisible, digne de confiance — était discrètement devenu l'une des choses les plus précieuses qu'un criminel puisse dérober.