Le hackeur français plaide finalement coupable devant la justice américaine

L’affaire Sébastien Raoult, du nom de ce jeune Français accusé aux Etats-Unis de cybercriminalité, vient de connaître un nouveau tournant : alors que l’ancien étudiant en informatique originaire d’Epinal avait plaidé non coupable au début de l’année, avec un procès prévu dans le courant de l’année 2024, il a finalement fait volte-face en nouant un accord avec l’accusation.

Comme l’a annoncé le parquet du district ouest de l’Etat de Washington, mercredi 27 septembre, Sébastien Raoult a en effet reconnu sa culpabilité pour deux infractions : la fraude électronique (wire fraud) et le vol aggravé d’identité. Deux délits passibles, selon le communiqué, d’une peine maximale de vingt-sept ans pour le premier et d’une peine minimale de deux ans pour le second. Il était initialement visé par sept autres chefs d’inculpation. On ignore pour le moment quand le quantum de la peine sera déterminé.

Visé par une enquête de la police fédérale américaine, Sébastien Raoult avait notamment été confondu par son adresse IP (Internet Protocol, adresse unique d’un appareil sur le réseau), utilisée pour accéder à deux sites malveillants et à son compte personnel sur GitHub, ou par ses échanges sur le réseau social Discord. Arrêté à la demande de la justice américaine, en mai 2022, au Maroc, où il vivait depuis quelques mois, le jeune homme avait été extradé vers Seattle, en janvier.

Trois Français visés

Ses proches et particulièrement son père, Paul Raoult, ancien président de la Fédération des conseils de parents d’élèves, avaient alors vivement protesté. « Je suis persuadé que mon fils est innocent et qu’il est utilisé comme une monnaie d’échange, assurait-il ainsi auprès de l’Agence France-Presse (AFP), peu de temps après l’arrestation. Quelqu’un a sans doute usurpé son identité. » L’entourage du jeune homme avait ensuite appelé un « procès équitable » dans l’Hexagone. « Comment organiser une défense quand les preuves se trouvent ici en France » et en l’absence des autres protagonistes, regrettait ainsi Paul Raoult à la mi-septembre, quelques semaines après une visite aux Etats-Unis.

Lire aussi : Article réservé à nos abonnés Affaire Sébastien Raoult : après l’avis favorable de la justice marocaine à une extradition vers les Etats-Unis, sa famille réitère sa demande d’enquête en France

Pourtant, comme il l’a admis, Sébastien Raoult a bien fait partie des ShinyHunters, un gang de hackeurs hexagonaux. Actif entre avril 2020 et juillet 2021, selon la temporalité retenue par la justice américaine, ce groupe compterait également, selon l’accusation, deux autres jeunes Français dans ses rangs : Abdel-Hakim El-Ahmadi et Gabriel Bildstein. Restés en France, ils n’ont pas été extradés. Le nom de la bande fait référence à un terme de jargon réservé aux initiés de la communauté des « Pokémon », jeu culte dont était fan Gabriel Bildstein. Dans un courriel envoyé à des magistrats, dont Le Monde a eu connaissance, il expliquait avoir commencé les piratages informatiques après avoir été insulté par des joueurs sur le jeu en ligne Pokémon Showdown.

Une « part substantielle » dans les activités du groupe

« On n’est pas un gang de cybercriminels, on est une bande de passionnés par l’informatique » ayant le goût de pirater pour « la sensation d’avoir réussi [un] exploit », a expliqué à l’AFP un ami de Sébastien Raoult, Nassim B., mis en cause dans une autre procédure pénale française de cybercriminalité. L’accord de plaider-coupable, consulté par Le Monde, souligne néanmoins un autre rôle pour Sébastien Raoult chez les ShinyHunters : connu en ligne sous le pseudo « Sezyo Kaizen », un surnom qu’il avait d’ailleurs repris dans une fausse carte d’identité française en sa possession, il a admis avoir développé « une part substantielle » des pages d’hameçonnage utilisées par le groupe.

Lire aussi : Article réservé à nos abonnés Affaire Sébastien Raoult : qui sont les ShinyHunters, ces cybercriminels spécialisés dans le vol et la vente de données ?

Ce genre de technique est bien connu : en usurpant ou étant très proche d’un nom de domaine d’un service légitime, il s’agit d’inciter la victime à cliquer sur le lien et à rentrer ses données de connexion. Leurs cibles privilégiées étaient les utilisateurs de GitHub, une plate-forme rachetée par Microsoft en 2018, qui permet aux développeurs de stocker et de partager des projets informatiques.

Après avoir piraté leurs victimes, les hackeurs détournaient la puissance de calcul de leur ordinateur pour faire tourner des logiciels de cryptominage, ou faisaient tout simplement main basse sur des données confidentielles, par exemple des numéros de carte bancaire.

Ces informations étaient ensuite mises en vente sur des marchés noirs en ligne ou utilisées pour extorquer une rançon – l’une d’entre elles a atteint les 425 000 dollars (402 500 euros). Les pertes des entreprises visées par les ShinyHunters, notamment l’application de retouche de photo Pixlr, l’enseigne de vêtements Bonobo, le service d’édition de PDF Nitro ou le site d’e-commerce indonésien Tokopedia, ont été évaluées à plus de 6 millions de dollars (5,7 millions d’euros).

Gabriel Thierry