En bref

  • Owen Flowers (18 ans) et Thalha Jubair (20 ans), membres présumés du groupe Scattered Spider, ont été condamnés le 16 juillet 2026 à cinq ans et demi d'emprisonnement pour le piratage de Transport for London.
  • L'attaque de septembre 2024 a paralysé 148 systèmes de TfL, contraint les 27 000 employés à une réinitialisation de mot de passe en présentiel et causé 29 millions de livres sterling de pertes directes.
  • Premières condamnations réussies sous la Section 3ZA de la Computer Misuse Act 1990, la disposition pénale la plus sévère du droit informatique britannique — un précédent juridique majeur.

Deux membres de Scattered Spider condamnés à cinq ans et demi pour le hack de Transport for London

Le Woolwich Crown Court a prononcé le 16 juillet 2026 des peines de cinq ans et demi d'emprisonnement à l'encontre d'Owen Flowers, 18 ans, et de Thalha Jubair, 20 ans. Les deux Britanniques sont reconnus coupables d'avoir participé à la cyberattaque qui a frappé Transport for London (TfL) en septembre 2024, selon The Hacker News et The Register qui ont tous deux couvert le prononcé du jugement. TfL est l'autorité publique chargée de l'ensemble des réseaux de transport de la capitale anglaise — métro, bus, Overground, DLR, tramways et ferries sur la Tamise — dont la disruption peut affecter des millions de trajets quotidiens.

L'attaque avait laissé 148 systèmes informatiques de TfL hors service pendant plusieurs jours. L'ampleur du sinistre était telle que les 27 000 employés de l'organisation avaient dû se rendre physiquement dans les bureaux pour effectuer une réinitialisation de mot de passe en présentiel — une procédure d'urgence imposée pour garantir que les comptes compromis ne pourraient pas être réutilisés à distance par les attaquants. La National Crime Agency (NCA) et le Crown Prosecution Service (CPS) britanniques ont conjointement évalué les pertes directes et les coûts de récupération à 29 millions de livres sterling, soit environ 34 millions d'euros.

Sur le plan juridique, l'affaire présente une dimension historique. Flowers et Jubair ont été poursuivis en vertu de la Section 3ZA de la Computer Misuse Act 1990, la disposition la plus grave prévue par cette loi fondatrice du droit informatique britannique. Cet article cible spécifiquement les attaques causant ou risquant de causer des dommages sérieux aux systèmes nationaux critiques ou au bien-être humain. Les deux prévenus ont plaidé coupable le 22 juin 2026, soit le jour même prévu pour l'ouverture de leur procès, bénéficiant en conséquence d'une réduction de peine de 15 %. Le CPS a confirmé qu'il s'agissait des toutes premières condamnations obtenues avec succès sous la Section 3ZA, qui n'avait jamais produit de jurisprudence depuis son introduction dans la loi.

Le volet américain de l'affaire alourdit considérablement le bilan. Owen Flowers a en outre reconnu deux autres chefs d'accusation liés à des attaques contre des établissements de santé américains : une conspiration criminelle contre SSM Health, l'un des plus grands réseaux hospitaliers catholiques aux États-Unis avec une centaine d'établissements, et une tentative d'attaque contre Sutter Health, autre grand opérateur hospitalier californien. Des échanges de messagerie produits comme preuves au cours de la procédure ont montré que Flowers avait lui-même reconnu dans des conversations privées que ces attaques sur des hôpitaux pourraient "tuer un vieillard de 90 ans sous respirateur". Le CPS a cité cette déclaration dans son réquisitoire pour démontrer que l'accusé était pleinement conscient du caractère potentiellement létal de ses actes.

Scattered Spider est un collectif cybercriminel informel constitué principalement de jeunes anglophones britanniques et américains, dont certains avaient à peine seize ans lors de leurs premières activités criminelles recensées en 2022. Le groupe est particulièrement redouté pour ses techniques d'ingénierie sociale sophistiquées : SIM swapping (prise de contrôle frauduleuse d'une carte SIM en convaincant l'opérateur téléphonique de transférer le numéro), vishing (phishing par appel téléphonique en se faisant passer pour un agent du support IT), et usurpation d'identité ciblée. Ces méthodes permettent au groupe de contourner des mécanismes d'authentification multi-facteurs pourtant réputés robustes, en exploitant la dimension humaine plutôt que les failles techniques des systèmes de sécurité.

Le palmarès de Scattered Spider est particulièrement lourd. En septembre 2023, le groupe avait paralysé les systèmes de MGM Resorts International pendant plus de dix jours, causant des pertes évaluées par MGM à environ 100 millions de dollars. La même période avait vu Caesars Entertainment verser une rançon de plusieurs dizaines de millions de dollars pour éviter la publication de données volées. Twilio, DoorDash et Riot Games figurent également parmi les victimes documentées du groupe, toujours via des techniques d'ingénierie sociale ciblant les centres d'assistance téléphonique et les employés en télétravail. D'après Bleeping Computer, des membres du groupe ont aussi été impliqués dans des attaques contre des opérateurs télécom américains pour faciliter leurs opérations de SIM swapping à grande échelle.

L'enquête a mobilisé la NCA britannique, le FBI américain et Europol dans un dispositif de coopération internationale. Plusieurs membres présumés du groupe avaient déjà fait l'objet d'arrestations aux États-Unis entre 2024 et 2025, mais les procédures judiciaires américaines se poursuivent. Des sources proches des enquêtes citées par Dark Reading estiment que le noyau dur actif de Scattered Spider comprendrait encore une vingtaine à une trentaine de membres opérant depuis le Royaume-Uni, les États-Unis et d'autres pays anglophones. La NCA a confirmé que des investigations se poursuivaient pour identifier d'éventuels complices dans l'attaque de TfL non encore appréhendés.

La peine de cinq ans et demi, bien que significative pour de jeunes prévenus sans casier judiciaire préalable, reste très éloignée du maximum théorique qu'autorise la Section 3ZA — la seule infraction de la Computer Misuse Act sans plafond de peine. Les procureurs ont précisé que les condamnés devront effectuer au minimum la moitié de leur peine avant d'être éligibles à une libération conditionnelle. La NCA a indiqué que la condamnation de Flowers et Jubair s'inscrit dans une stratégie délibérée de poursuites systématiques contre tous les membres identifiés de Scattered Spider, quelle que soit leur nationalité, et que d'autres procédures judiciaires sont en cours dans plusieurs pays.

Pourquoi ce jugement redéfinit la répression de la cybercriminalité en Europe

La portée de ce jugement dépasse largement le cas de deux jeunes hackers britanniques. En activant pour la première fois avec succès la Section 3ZA de la Computer Misuse Act 1990, les autorités judiciaires ont établi un précédent qui transforme l'approche pénale des cyberattaques contre les infrastructures critiques au Royaume-Uni. Tout groupe cybercriminel ciblant désormais un opérateur de transport, un hôpital, un réseau électrique ou un système d'eau britannique s'expose à être poursuivi sous une disposition sans plafond de peine, applicable dès lors que l'attaque crée un risque sérieux de dommages aux personnes ou aux services essentiels. Ce précédent sera probablement cité dans des procédures similaires dans d'autres pays de common law ayant des législations comparables.

Pour les entreprises et les responsables de la sécurité informatique, l'affaire TfL offre une illustration de manuel sur la vulnérabilité aux attaques d'ingénierie sociale. Scattered Spider n'a pas exploité de faille logicielle inconnue ni de technique de hacking particulièrement sophistiquée. Le groupe a simplement su convaincre des interlocuteurs humains de remettre des accès ou de modifier des configurations de sécurité. Cette réalité devrait pousser les organisations à compléter leurs investissements en solutions techniques (EDR, SIEM, MFA résistant au phishing) par une formation continue des équipes et des procédures de vérification d'identité hors-bande pour toute demande de modification d'accès sensible, même en provenance de personnes se présentant comme des membres du personnel IT interne.

L'affaire souligne également les progrès accomplis dans la coopération judiciaire internationale en matière de cybercriminalité. La rapidité avec laquelle des hackers britanniques opérant depuis leur domicile ont pu être identifiés et poursuivis en moins de deux ans témoigne d'une amélioration tangible des mécanismes d'entraide entre la NCA, le FBI et Europol. Ce message est particulièrement important à destination des jeunes cybercriminels qui pensent que leur jeunesse ou leur localisation géographique les met à l'abri de toute conséquence judiciaire : la réalité illustrée ici est que les frontières numériques n'offrent plus aucune protection efficace.

Enfin, l'aspect financier mérite réflexion : 29 millions de livres sterling pour une seule cyberattaque sur un opérateur de transport. Cette somme comprend les coûts de remédiation technique, les pertes opérationnelles, la gestion de crise (incluant l'organisation de la réinitialisation physique des mots de passe pour 27 000 employés), les frais juridiques et les investissements en cybersécurité rendus nécessaires en urgence. Pour toute organisation gérant des services essentiels, ce chiffre constitue un argument imparable en faveur d'un investissement préventif en cybersécurité, systématiquement moins coûteux que la réponse à incident.

Ce qu'il faut retenir

  • Première condamnation réussie sous la Section 3ZA de la Computer Misuse Act 1990 : un précédent qui renforce l'arsenal pénal britannique contre les cyberattaques visant les infrastructures critiques, avec des peines potentiellement illimitées.
  • Scattered Spider reste actif malgré les arrestations : les techniques d'ingénierie sociale employées ne requièrent ni outils coûteux ni expertise technique — elles exploitent uniquement les failles humaines, rendant toute organisation vulnérable.
  • 29 millions de livres de pertes pour TfL : l'investissement préventif en formation des équipes, en procédures de vérification d'identité hors-bande et en authentification résistante au phishing (FIDO2, passkeys) coûte systématiquement moins cher que la réponse à incident.

Comment se protéger contre les techniques d'ingénierie sociale de Scattered Spider ?

La formation régulière des équipes helpdesk et des employés à la reconnaissance des tentatives de manipulation est le premier rempart. Toute demande de modification d'accès critique doit être validée via un canal hors-bande (rappel sur un numéro préenregistré, confirmation par le manager direct). Le déploiement de clés physiques FIDO2 ou de passkeys en remplacement des OTP par SMS élimine le vecteur de SIM swapping. Enfin, surveiller en temps réel les demandes inhabituelles de réinitialisation d'accès ou de modification de MFA avec alerte SOC immédiate permet de détecter une compromission en cours avant qu'elle ne s'étende.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact