Ekaterina Pokrovsky - stock.adob
Deux « Scattered Spider » britanniques condamnés à de la prison
Owen Flowers et Thalha Jubair, les hackers derrière la cyberattaque de 2024 contre la régie des transports en commun de Londres, ont été condamnés à cinq ans de prison au Woolwich Crown Court.
Deux membres du collectif de hackers Scattered Spider, Owen Flowers et Thalha Jubair, âgés respectivement de 18 et 20 ans, ont été condamnés à cinq ans et six mois de prison au Woolwich Crown Court à Londres pour leur implication dans la cyberattaque de 2024 contre la régie des transports en communs de Londres, Transport for London (TfL).
L'attaque contre les systèmes de TfL a débuté par une ingénierie sociale ciblant le service d'assistance de l'organisation, un mode opératoire signature de Scattered Spider. Bien qu'elle n'ait pas interrompu les réseaux de métro ou de bus de Londres, elle a provoqué de graves perturbations des services techniques, tels que les comptes de paiement Oyster des clients et les API tierces. À ce jour, elle a coûté près de 40 millions de livres sterling à TfL. Les données de 10 millions de voyageurs ont été volées à cette occasion.
L'impact a probablement été atténué dans une certaine mesure par la réponse rapide de TfL – pour laquelle elle a été largement saluée. La régie avait mené une série de jeux de guerre cybernétiques peu de temps avant l'attaque.
La condamnation d'aujourd'hui marque l'aboutissement d'une enquête majeure impliquant la National Crime Agency (NCA), la City of London Police et des partenaires des États-Unis – y compris le FBI –, notamment.
Le directeur adjoint Paul Foster, chef de l'unité de cybercriminalité de la NCA, a salué un moment important pour les enquêtes sur la cybercriminalité : « c'est la plus grande poursuite pénale jamais menée contre des acteurs de la cybercriminalité au Royaume-Uni. C'est l'aboutissement de près de deux années de travail d'investigation méticuleux, long et détaillé, ainsi que de gestion des risques par les agents de la NCA et nos collègues de la police ».
Et de rappeler que les acteurs associés au mode opératoire Scattered Spider ont constitué « au cours des deux dernières années, la plus grande menace criminelle de cybercriminalité pour le Royaume-Uni. Leurs activités et leur impact ont désormais été gravement dégradés à la suite de cette action entreprise. Je ne doute pas que les citoyens et les intérêts du Royaume-Uni soient significativement plus en sécurité à ce titre, et cela s'applique également à d'autres pays du monde entier ».
Le commissaire de TfL, Andy Lord, a ajouté : « nous accueillons la nouvelle que deux personnes inculpées en relation avec l'incident de cybersécurité qui a affecté nos opérations en 2024 ont maintenant été condamnées. La sécurité de nos systèmes et des données de nos clients est extrêmement importante pour nous, et nous surveillons continuellement nos systèmes pour nous assurer que seuls les personnes autorisées peuvent y accéder et nous continuons à prendre les mesures nécessaires pour protéger TfL. Nous remercions le travail acharné de notre personnel, de la National Crime Agency et de ses partenaires pour leurs enquêtes sur cet incident ».
Une enquête longue
Owen Flowers a été arrêté pour la première fois suite à l'attaque contre TfL le 6 septembre 2024, « quelques semaines seulement après le déroulement de l'incident » – bien que son identité n'ait pas été officiellement révélée car il était mineur à l'époque. À ce moment-là, il a également été découvert qu'il était en train de mener une série de piratages contre deux organisations de soins de santé américaines, SSM Health Care Corporation et Sutter Health.
La police a saisi des appareils, dont des ordinateurs portables, des disques durs et des clés USB, et a trouvé des preuves, notamment des captures d'écran de l'attaque contre TfL et des vidéos d'Owen Flowers montrant Thalha Jubair accédant aux systèmes de TfL. Le duo s'était également envoyé des messages via Telegram et un outil de collaboration en ligne non nommé.
Au fur et à mesure de l'avancement de l'enquête, le duo ont été arrêté le 16 septembre 2025 et a été « inculpé de diverses infractions » en vertu de la Section 3ZA du Computer Misuse Act de 1990 – qui s'applique aux situations où des actes non autorisés causent ou créent un risque important de dommages graves, ou si la personne a l'intention ou est imprudente quant à ces dommages.
Les deux hommes ont décidé de plaider coupable le 22 juin 2026, le jour où ils devaient être jugés.
Sous le radar
Bien que des millions de livres sterling d'actifs cryptographiques aient transité par des comptes qu'ils contrôlaient, contrairement à leurs pairs dans le milieu cybercriminel russophone, ni Owen Flowers ni Thalha Jubair n'étaient particulièrement ostentatoires avec leurs gains illicites.
Owen Flowers, qui vivait chez sa grand-mère et son oncle, passait la plupart de son temps dans sa chambre à jouer à des jeux vidéo et à utiliser des forums de discussion en ligne, et semble avoir été motivé davantage par un désir de célébrité ou de notoriété au sein de la communauté.
Pendant ce temps, Thalha Jubair vivait avec sa mère et son père, tous deux employés comme aides-soignants, dans un appartement à loyer modéré à Bow, dans l'est de Londres. « Décrit comme une sorte de solitaire », il passait également beaucoup de temps en ligne et sans surveillance dans sa chambre – selon les documents judiciaires américains, une avancée significative dans l'enquête est survenue lorsqu'il a fait l'erreur de commander une livraison de plats à emporter en utilisant des bons cadeaux achetés via un portefeuille crypto que la police avait déjà lié à Scattered Spider.
Une nébuleuse internationale
Owen Flowers et Thalha Jubair sont tous deux autistes, ce qui est considéré comme un facteur dans leur condamnation. Le premier avait commis plusieurs piratages de moindre envergure avant d'attaquer TfL et avait été visité par des agents à son domicile en 2023, sans effet apparent. Le second avait précédemment fait l'objet d'une ordonnance de réhabilitation de 18 mois qui a été largement ignorée, et a été lié au syndicat Lapsus$ adjacent à Scattered Spider en tant qu'associé du membre clé du gang Arion Kurtaj, « qui a attaqué Rockstar Games et Uber », parmi beaucoup d'autres.
Cette double condamnation survient l'arrestation d'un autre individu associé au mode opératoire Scattered Spider, en Finlande. Quatre autres interpellations étaient survenues, outre-Manche, l'an dernier. Plus globalement, une trentaine de membres du collectif aux concours flous « The Com », mais adjacente du mode opératoire Scattered Spider, a fait l'object d'arrestations au cours des 18 derniers mois. De quoi souligner la diversité et l'étendue géographique de l'environnement cybercriminel.
