L’affaire Shiny Hunters concerne le piratage informatique. Les Shiny Hunters sont un “gang de pirates informatiques” qui pirataient des entreprises dans le but de voler leurs données et les revendre à prix d’or.
Le groupe de hackers est soupçonné, par la justice américaine, d’avoir été l’auteur de plusieurs cyberattaques à l’encontre de diverses entreprises, dont le préjudice se chiffrerait en millions de dollars entre 2019 et 2021.
Quels sont les préjudices ?
Les Shiny Hunters ont largement fait parler d’eux en 2020 en affirmant avoir piraté les données personnelles de 73,2 millions d’utilisateurs de dix sites Internet et d’applications, avant de les mettre en vente sur le Darkweb. Pour montrer leur force, et la véracité de leurs propos, ces derniers avaient même mis en ligne un certain nombre de données volées. Ces données concernaient notamment l’application de rencontres Zoosk, le service d’impression Chatbooks, l’entreprise Home Chef, SocialShare, mais aussi Vinted. Les Shiny hunters proposaient leur acquisition de manière illégale au prix d’environ 18 000 dollars.
Selon les informations collectées par Le Monde en 2021, les hackers seraient accusés d’avoir vendu des données appartenant à plus de soixante entreprises. D’autres sociétés auraient été touchées, telles que le compte GitHub de Microsoft, l’application de retouche photo Pixlr, ou encore l’enseigne de vêtements Bonobo.
Comment ont-ils procédé ?
Selon les documents du FBI, les pirates des Shiny Hunters auraient procédé à ce piratage via des campagnes de phishing. En d’autres termes, les hackers auraient recouru à l’hameçonnage, cela consiste pour ces derniers à envoyer un lien par le biais d’un mail. Le but étant d’obtenir du destinataire qu’il transmette des données sensibles telles que ses coordonnées bancaires, des informations confidentielles, comme ses identifiants de connexion à des services spécifiques. Cette technique est l’une des plus courantes et qui fonctionne le mieux, étant donné que 94% des logiciels malveillants sont d’ailleurs libérés par un email. Toujours selon le FBI, les pirates auraient attaqué les développeurs de GitHub (racheté par Microsoft). La société GitHub permet de stocker et partager des projets informatiques. Avec cette campagne d’hameçonnage, les utilisateurs ciblés étaient avertis d’un changement concernant leur compte (information fausse). Ils étaient par la suite redirigés vers une fausse page de connexion, sur laquelle ils se sont fait voler leurs identifiants. Le but était clair, s’emparer des informations accessibles via cette connexion.
Cette cyberattaque, à l’encontre de GitHub, se présentait sous le nom de “Sawfish”. Au total 650 utilisateurs de GitHub ont été piratés entre mars et mai 2020.
Comme précédemment mentionné, ces attaques ont fait des dégâts considérables qui auraient coûté des millions de dollars aux entreprises.
Qui sont alors ces pirates informatiques ?
Vraisemblablement, plusieurs français auraient été soupçonnés de faire partie de cette bande de pirates informatiques. Dans un premier temps, le FBI soupçonnait Sébastien Raoult, Abdel-Hakim E. et Gabriel Bildstein.
Gabriel B. est un hacker de 23 ans déjà connu des services de police française puisqu’il avait été arrêté en avril 2018 à l’occasion du piratage de la chaîne Vevo et du site YouTube.
Pour autant, seul le premier, à savoir Sébastien Raoult, a été traduit devant la justice américaine. En effet, l’étudiant de 21 ans avait été arrêté au Maroc le 31 mai 2022, à l’aéroport de Rabat-Salé, alors qu’il s’apprêtait à prendre un vol pour la Belgique. Interpol avait fait émettre une notice rouge (“une demande adressée aux services chargés de l’application de la loi du monde entier à l’effet de localiser une personne et de procéder à son arrestation provisoire dans l’attente de son extradition, de sa remise ou d’une mesure similaire conforme au droit.”) dans le but d’arrêter Sébastien Raoult. Ce dernier, après avoir passé plusieurs mois dans la prison de Triflet au Maroc, a été extradé vers les États-Unis le 25 janvier 2023.
Comment la justice américaine a-t-elle tranchée ?
Le jeune homme était accusé par la justice américaine de « complot en vue de commettre fraude et abus électronique », « vol d’identité grave » ainsi que d’être un membre d’un groupe de cybercriminels, soit membre des Shiny Hunters. Cet étudiant risquait jusqu’à 116 ans de prison. Pour autant, un accord a finalement été passé entre Sébastien Raoult et la justice. Ce dernier a reconnu être coupable d’association de malfaiteurs en vue de commettre une escroquerie informatique et d’usurpation d’identité aggravée, afin de faire annuler toutes les autres charges qui pesaient contre lui. À cette occasion, le jeune homme a été condamné à trois ans de prison le 9 janvier 2024, il devra de plus rembourser 5 millions de dollars aux firmes victimes de piratage. Il devrait alors pouvoir retourner en France d’ici à fin 2024 si sa détention continue d’être aussi exemplaire.
Dunice Daigrier.
Master 2 Cyberjustice – Promotion 2023-2024.
Sources :
https://fr.wikipedia.org/wiki/ShinyHunters