Sébastien Raoult, le hackeur français qui se rêvait millionnaire, doit être fixé aujourd’hui sur sa condamnation

Ce 14 mars 2021, sur la plate-forme Discord, un certain Sezyo plastronne : « Mon plus grand succès de pirate informatique était Sawfish. » Derrière ce nom de code, une campagne d’arnaque « spectaculaire », assure-t-il. Et derrière le pseudo de cet internaute bravache : Sébastien Raoult. Trois ans après ces messages, le sort de ce jeune Français de 22 ans, originaire d’Epinal, est suspendu au verdict de la justice américaine. L’audience de fixation de sa peine doit avoir lieu ce mardi, à 11 heures à Seattle (20 heures, heure de Paris), où il a été extradé en janvier 2023 après avoir été arrêté au Maroc, huit mois plus tôt.

Sébastien Raoult est accusé d’avoir fait partie des ShinyHunters, un gang de pirates informatiques hexagonaux qui a fait au total une soixantaine d’organisations victimes entre avril 2020 et juillet 2021. Après avoir plaidé non coupable dans un premier temps, le Vosgien a finalement reconnu ses responsabilités pour deux des neuf chefs d’inculpation.

Au cœur de l’affaire : l’opération « Sawfish », justement, vaste campagne de hameçonnage menée contre GitHub. Cette plate-forme, qui permet aux développeurs de stocker et de partager des projets informatiques, signale en avril 2020 être victime d’une campagne malveillante. Les internautes ciblés, avertis d’un prétendu changement concernant leur compte, sont redirigés vers une fausse page de connexion, sur laquelle ils se font détrousser de leurs identifiants. Comme s’en félicite plus tard Sébastien Raoult, la récolte est effectivement particulièrement abondante : quelque 650 utilisateurs de GitHub sont ainsi piratés entre mars et mai 2020. Ce qui entraînera, entre avril et juin, au moins dix-sept piratages d’entreprises, victimes par ricochet de vols de données et de tentatives d’extorsion.

Lire aussi : Article réservé à nos abonnés Affaire Sébastien Raoult : qui sont les ShinyHunters, ces cybercriminels spécialisés dans le vol et la vente de données ?

Une implication « limitée », selon la défense

Les mémorandums de l’accusation et de la défense préparés pour cette audience donnent des précisions inédites sur le rôle joué par le jeune pirate. Selon Gabriel Bildstein, un hackeur bien connu de la justice française également accusé d’être membre des ShinyHunters, mais qui n’a pas été extradé puisqu’il est resté en France, la campagne de hameçonnage ayant visé GitHub aurait ainsi été programmée par Sébastien Raoult. Même s’il aurait ensuite été moins impliqué dans les vols de données proprement dits, il n’y a « aucune ambiguïté » sur le caractère « déterminant » de son rôle dans ces piratages, résume le parquet américain.

Sans ces précieuses informations de connexion, la razzia informatique réalisée par les hackeurs n’aurait, en effet, pas été possible, ce qui explique la peine importante demandée par l’accusation : soixante-douze mois, soit six ans de prison. La défense, elle, plaide pour une peine de vingt-cinq mois (un peu plus de deux ans), jugeant au contraire comme « limitée » l’implication de Sébastien Raoult dans les activités des ShinyHunters. Il n’aurait fait que reproduire du code open source déjà disponible, sans être impliqué dans les demandes de rançons et les ventes de données.

Il vous reste 55% de cet article à lire. La suite est réservée aux abonnés.