AFP, publié le mercredi 24 août 2022 à 20h54.
« Gang de cybercriminels » ou « groupe de passionnés » ? La justice américaine traque un groupe de hackers, les ShinyHunters, soupçonnés d’être à l’origine de cyberattaques d’entreprises causant des millions de dollars de dommages. Parmi ses suspects : trois Français, dont Sébastien Raoult, arrêtés au Maroc et menacés d’extradition vers les États-Unis.
« Tout comme les individus chassent et collectionnent les Pokémon Shiny, les ShinyHunters collectent et revendent les données des utilisateurs », ont déclaré à l’AFP des chercheurs de la société de cybersécurité Intel471, qui a rédigé un rapport sur leurs activités.
Selon un acte d’accusation américain de juin 2021 contre Sébastien Raoult vu par l’AFP, les ShinyHunters ont acquis la réputation de voler des données à des dizaines d’entreprises dans le monde depuis 2019, dont plusieurs aux États-Unis. , puis ils en ont vendu quelques-uns. et des données sur le dark web.
Selon le FBI, l’équipe s’est introduite dans les comptes et réseaux informatiques d’un certain nombre d’entreprises, notamment par le biais de campagnes d’e-mails de phishing, dites « phishing », ciblant les employés qui utilisent des services répandus, comme la plateforme informatique de partage de code Github, propriété de le géant américain de l’informatique Microsoft.
Selon différents experts interrogés par l’AFP, leurs victimes seraient notamment le compte Github de Microsoft, le site d’e-commerce indonésien Tokopedia, la marque de vêtements américaine Bonobos, l’éditeur de PDF en ligne PDF Nitro ou encore la compagnie de téléphone américaine AT&T.
Sur la base d’adresses IP, de comptes liés et de discussions Discord, entre autres, le FBI pense avoir identifié trois Français membres du « groupe » ShinyHunters, dont Sébastien Raoult, 21 ans, incarcéré depuis début juin près de Rabat. et qui pourrait être extradé vers les États-Unis dans les mois à venir.
Abdel H. – sous les pseudonymes « Zac » et « Jordan Keso » – et Gabriel K. B., connu sous les noms « Kuroi » et « Gnostic Players », qui souffre de l’autisme Asperger, sont également visés par la justice américaine.
Jugé en 2019 pour piratage de la chaîne Vevo et du tube Despacito sur YouTube, Gabriel K.B. a été déclaré pénalement irresponsable. Le génie informatique de 23 ans a également été inculpé dans une autre affaire, où il est soupçonné d’avoir piraté la plateforme de crypto-monnaie Gatehub en 2019 avec d’autres.
En avril 2020, le surnom « ShinyHunters » est apparu pour la première fois sur le RaidForum, désormais fermé, selon les observations de chercheurs de la société de cybersécurité Intel471.
Le premier coup d’État du groupe est survenu en mai suivant, lorsque les données de 91 millions d’utilisateurs de Tokopedia ont été divulguées, selon les rapports de la société de sécurité informatique Digital Shadows consultés par l’AFP.
Shinyhunters a d’abord tenté de vendre ses premières bases de données. Mais dès juillet 2020, des publications évoquent la « phase 2 », qui consisterait en une diffusion gratuite de ces bases de données sur des forums de hackers, explique Ivan Righi, analyste chez Digital Shadows.
« Ils étaient très populaires sur les forums, raconte un expert en cybersécurité. Ils cherchaient vraiment la reconnaissance des autres utilisateurs », selon un rapport transmis par Ivan Righi.
« Au début, ils cherchaient plus comment se faire un nom sur le dark web et un peu d’argent, car la base de données ne peut pas être revendue très cher », estime également pour l’AFP Angelina Shelest, analyste au départ. La société française de cybersécurité CybelAngel, qui surveille les fuites de données du groupe.
Mais à partir d’avril 2021, ShinyHunters entrerait dans sa troisième phase : menacer les entreprises de divulguer leurs données contre rançon, selon les publications observées par l’analyste Ivan Righi.
La justice américaine accuse par exemple le compte « ShinyHunters » d’avoir fait chanter un responsable d’une entreprise indienne en mars 2021, exigeant 1,2 million de bitcoins pour que toutes leurs données ne soient pas divulguées.
Plusieurs experts interrogés soupçonnent que les ShinyHunters sont liés à d’autres groupes cybercriminels, tels que GnosticPlayers.
« Les enquêteurs disent que les GnosticPlayers se sont transformés en ShinyHunters. Mais ce sont deux cas complètement différents », s’insurge Nassim B., un ami de Sébastien Raoult, se décrivant comme un informaticien « autodidacte » qui vit « très simplement ».
Le Grenoblois de 23 ans, également jugé en 2019 avec Gabriel K.B. pour piratage de la chaîne Vevo et mis en cause dans l’affaire Gatehub, a déclaré à l’AFP avoir été interrogé fin mai par des enquêteurs français et américains, en même temps que Sébastien a été arrêté au Maroc Raoult.
« Lors de l’interrogatoire, le FBI a trouvé une trentaine de pseudonymes et nous a demandé si nous savions qui ils étaient », raconte Nassim B., qui clame également son innocence sur Sébastien Raoult dans les attentats attribués aux ShinyHunters. « Nous ne sommes pas un groupe de cybercriminels, nous sommes une bande de passionnés d’informatique », plaide-t-il.
Nassim, qui dit bien connaître « Sezyo », alias Sébastien Raoult, décrit ses amis hackers comme « une communauté d’amis qui se connaissent depuis 2012 et partagent une passion pour Internet » et un goût pour le hacking pour « le sentiment de ‘réaliser un exploit ».
« Nous piratons sous un pseudonyme », dit-il. C’est facile d’usurper l’attaque de quelqu’un, de faire de fausses pistes, de s’assurer que les attaques sont attribuées à d’autres », plaide le jeune homme.
Deux sources proches du dossier ont confirmé que les hackers avaient été placés en garde à vue en France en mai et juin dans le cadre d’une demande d’entraide américaine en lien avec ShinyHunters.
Mattys S., 21 ans, affirme également avoir été interrogé par des enquêteurs le 31 mai dans le sud de la France au sujet de cyberattaques attribuées aux ShinyHunters. « On n’a rien à voir avec ça. Il n’y a jamais vraiment eu de groupe (…) des actes (de piraterie) sont commis régulièrement par des gens, au hasard ».
Selon Ivan Righi, depuis la dissolution de Raidforum, les ShinyHunters « ont migré vers BridgeForum et semblent avoir cessé leurs activités ou ne veulent pas s’impliquer dans la communauté ».
En France, la famille de Sébastien Raoult – ancien étudiant en informatique à Epinal – multiplie les démarches et les conférences de presse pour demander son extradition vers la France, et non vers les Etats-Unis.
L’avocat de Sébastien Raoult a adressé lundi des courriers au président Emmanuel Macron, à la Première ministre Elisabeth Borne et aux ministères de la justice et des affaires étrangères, dénonçant une « situation judiciaire inacceptable » assimilable à un « trou noir juridictionnel d’un jeune homme ».
« Au lieu d’un procès commun en France, on a sacrifié Sébastien Raoult pour qu’il puisse être jugé seul aux Etats-Unis, c’est scandaleux et contre les droits fondamentaux », a réagi auprès de l’AFP Me Philippe Ohayon.