En bref

  • Peter Stokes, 19 ans, alias « Bouquet », présumé membre de Scattered Spider, a été extradé aux États-Unis depuis la Finlande après son arrestation à l'aéroport d'Helsinki en avril 2026.
  • Scattered Spider est un groupe cybercriminel lié à plus de 100 intrusions ayant généré plus de 100 millions de dollars de rançons, ciblant principalement de grandes entreprises américaines.
  • Les organisations doivent renforcer les procédures d'authentification de leur help desk et déployer des mécanismes MFA résistants au phishing pour contrer les techniques du groupe.

Arrestation en Finlande, extradition aux États-Unis

Peter Stokes, ressortissant américano-estonien âgé de 19 ans, a comparu mardi devant un tribunal fédéral de Chicago après son extradition vers les États-Unis, où il doit répondre de charges de conspiration, d'intrusion informatique et de fraude. Connu sous le pseudonyme « Bouquet » dans les cercles de la cybercriminalité, Stokes est le dernier membre présumé de Scattered Spider à être rattrapé par la justice américaine — un collectif responsable de certaines des attaques les plus coûteuses et les plus médiatisées de ces dernières années.

Son arrestation remonte au mois d'avril 2026. Alors qu'il tentait d'embarquer à l'aéroport d'Helsinki-Vantaa à bord d'un vol à destination du Japon, Stokes a été intercepté par les autorités finlandaises agissant sur la base d'une notice rouge d'Interpol. Lors de la fouille, les enquêteurs ont saisi deux disques durs de 2 téraoctets, dont le contenu devrait constituer des pièces à conviction majeures dans le cadre des poursuites. Le délai de deux mois entre l'arrestation et l'extradition a permis à la justice finlandaise d'instruire la demande américaine et de lever les obstacles légaux à son transfert.

Selon l'acte d'accusation fédéral, Stokes aurait commencé ses activités illicites dès l'âge de 16 ans, avec au moins quatre intrusions informatiques documentées à son actif. L'affaire centrale ayant conduit à son inculpation remonte à mai 2025 : lui et ses co-conspirateurs auraient pénétré le système informatique d'un joaillier de luxe, exfiltré des données sensibles appartenant à la société, puis adressé une demande de rançon de 8 millions de dollars en cryptomonnaies. La piste financière, les logs d'accès et les échanges numériques ont permis aux enquêteurs du FBI de relier « Bouquet » à cette intrusion.

Le parcours judiciaire de Stokes s'inscrit dans une série de mises en cause visant les membres présumés de Scattered Spider. Tyler Buchanan, alias « Tylerb », avait été interpellé en Espagne en 2024, puis extradé aux États-Unis ; Noah Urban, alias « Sosa », avait été arrêté en Floride ; Ahmed Hossam Eldin Elbadawy, alias « AD », avait comparu au Texas. L'opération coordonnée entre le DOJ, le FBI et Interpol illustre la pression internationale croissante exercée sur ce groupe atypique, composé majoritairement d'adolescents et de jeunes adultes anglophones.

Scattered Spider est un collectif aux contours flous, souvent décrit par les analystes de Mandiant et CrowdStrike comme un groupe de hackers « natifs de la culture Telegram et Discord ». Leurs membres communiquent principalement en anglais, ce qui leur permet d'orchestrer des attaques de social engineering particulièrement efficaces contre les services d'assistance téléphonique d'entreprises américaines. La technique du SIM swapping — détourner un numéro de téléphone d'une victime auprès de son opérateur mobile — constitue leur signature opérationnelle la plus redoutée, car elle permet de contourner l'authentification à deux facteurs dans de nombreux systèmes d'information.

Parmi les victimes les plus emblématiques associées à Scattered Spider figurent MGM Resorts International, dont les systèmes ont été paralysés pendant plusieurs jours en septembre 2023, entraînant des pertes estimées à plus de 100 millions de dollars, et Caesars Entertainment, qui aurait payé une rançon de 15 millions de dollars pour éviter la publication de données volées. En 2024, le groupe a également ciblé des acteurs des télécommunications, des compagnies d'assurance et des fournisseurs de services cloud. La liste des victimes dépasse aujourd'hui les 100 organisations, selon les chiffres cités dans l'acte d'accusation fédéral.

Au tribunal de Chicago, Stokes a été placé en détention provisoire dans l'attente de son procès. Son avocat n'a pas encore communiqué publiquement sur la stratégie de défense adoptée. Si les charges sont retenues, le jeune homme encourt des peines pouvant atteindre plusieurs décennies d'emprisonnement au titre des lois fédérales américaines sur la cybercriminalité, notamment le Computer Fraud and Abuse Act et les dispositions anti-rançongiciels intégrées dans les statuts fédéraux.

Cette extradition envoie un signal fort aux cybercriminels qui pensaient pouvoir opérer depuis des pays tiers en toute impunité. La coopération entre le FBI, le DOJ, Interpol et les autorités finlandaises démontre que le réseau international d'entraide judiciaire fonctionne de manière efficace, même lorsque les suspects étaient mineurs au moment des premiers faits. Le dossier Stokes sera suivi de près par la communauté de la cybersécurité, qui attend de savoir si une coopération avec les enquêteurs lui vaudra une réduction de peine.

Scattered Spider et la nouvelle génération de hackers criminels

Le profil de Peter Stokes illustre une tendance alarmante dans le paysage de la cybercriminalité : le rajeunissement des acteurs malveillants. Les membres présumés de Scattered Spider sont pour la plupart issus de la génération Z, ayant grandi dans un environnement numérique hyperconnecté, avec une maîtrise intuitive des plateformes de communication chiffrées, des cryptomonnaies et des techniques d'ingénierie sociale. Cette familiarité culturelle leur confère un avantage sur les dispositifs de détection traditionnels, conçus pour identifier des comportements techniques anormaux plutôt que des manipulations humaines sophistiquées.

Pour les équipes de sécurité des entreprises, Scattered Spider représente un adversaire hors norme. Contrairement aux groupes APT étatiques qui opèrent dans la discrétion et sur le long terme, ce collectif privilégie la rapidité, l'audace et l'improvisation. Leurs attaques commencent souvent par un simple appel téléphonique au help desk d'une entreprise, en usurpant l'identité d'un employé pour convaincre un technicien de réinitialiser des identifiants ou de désactiver temporairement la MFA. Cette approche low-tech, combinée à des outils d'intrusion sophistiqués en aval, rend la prévention extrêmement difficile avec des mécanismes classiques.

La multiplication des arrestations ne semble pas avoir totalement démantelé le groupe. Des analystes de CrowdStrike et de Recorded Future indiquent que des membres non identifiés continuent d'opérer sous des pseudonymes variés, potentiellement au sein de nouveaux collectifs ou en louant leurs services à d'autres groupes ransomware. La structure décentralisée de Scattered Spider — sans hiérarchie rigide ni infrastructure centralisée — complique les opérations de démantèlement : chaque arrestation est un coup porté, mais pas nécessairement un coup fatal.

Pour les entreprises françaises et européennes, ce dossier constitue un avertissement. Bien que le groupe ait principalement ciblé des organisations américaines, plusieurs indicateurs montrent une extension géographique de leurs activités. L'ANSSI et l'ENISA ont déjà alerté sur des tactiques similaires ciblant des entreprises européennes. Les RSSI doivent impérativement réviser leurs procédures de vérification d'identité pour les demandes de réinitialisation de compte, former leurs équipes de support aux signaux d'alerte du vishing et du SIM swapping, et déployer des solutions MFA résistantes au phishing comme les clés de sécurité FIDO2.

Ce qu'il faut retenir

  • Peter Stokes, alias « Bouquet », 19 ans, est le dernier membre arrêté de Scattered Spider, extradé depuis la Finlande après une tentative de fuite vers le Japon avec deux disques durs de 2 To saisis par les autorités.
  • Le groupe est lié à plus de 100 intrusions et 100 M$ de rançons, s'appuyant sur le social engineering, le SIM swapping et la manipulation des help desks d'entreprises.
  • Les organisations doivent renforcer les procédures d'authentification de leur support IT et déployer des mécanismes MFA résistants au phishing (FIDO2/passkeys) pour contrer ce vecteur d'attaque.

Comment Scattered Spider contourne-t-il l'authentification multi-facteurs ?

Scattered Spider utilise principalement deux méthodes : le SIM swapping (transférer le numéro de téléphone d'une victime vers une SIM contrôlée par l'attaquant pour intercepter les codes OTP) et le social engineering ciblant les help desks pour convaincre les techniciens de désactiver la MFA ou de réinitialiser des comptes. Pour s'en prémunir, les organisations doivent adopter des tokens FIDO2 ou passkeys qui ne peuvent pas être interceptés par ces techniques, et établir des procédures de vérification d'identité strictes pour toute demande de modification des paramètres de sécurité.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact