Raidforums : un jeune néerlandais condamné pour y avoir vendu des données

L’affaire du bénévole du Dutch Institute for Vulnerability Disclosure (DIVD) mis en cause dans un dossier de vol de données et d’extorsion vient de trouver son épilogue judiciaire. Comme signalé par Bleeping computer, Pepijn Van der Stap, un ancien professionnel néerlandais de la cybersécurité, vient d’être condamné à quatre ans de prison, dont un avec sursis - le parquet avait requis six ans.

Le tribunal d’Amsterdam a également condamné ce jeune homme de 21 ans à payer environ 300 000 euros d’amendes et d’indemnités aux victimes. Les juges ont estimé qu’il avait blanchi l’équivalent d’1,5 million d’euros en crypto-monnaie.

Arrêté en janvier 

Arrêté en janvier 2023, Pepijn Van der Stap était poursuivi pour une série de piratages et d’attaques par rançongiciel - le ransomware Tortilla est mentionné par l’accusation - menés entre l’hiver 2020 et janvier 2023 contre des organisations néerlandaises et britanniques.

Au printemps dernier, sa mise en cause avait fait du bruit. Il était en effet actif au DIVD, une organisation non gouvernementale de chercheurs en sécurité justement dédiée au signalement de vulnérabilités informatiques.

Selon le ministère public, le jeune néerlandais avait commencé à proposer à la vente des bases de données sur RaidForums en janvier 2021, sous divers pseudos (Lizardom, Umbreon ou encore Espeon, par exemple). Soit au final des données concernant des millions de personnes, a relevé le tribunal.

Millions de données 

Les policiers avaient également retrouvé dans son ordinateur des modèles de hameçonnage, des listes de couples d’identifiant et de mot de passe, ainsi que des modèles de texte de demande de rançon.

Dans une interview récente au site Databreaches, le jeune néerlandais avait raconté son parcours criminel. “Je n’étais pas vraiment motivé par l’argent”, ajoutant ne pas avoir systématiquement divulgué les données des victimes qui n’avaient pas payé de rançon, préférant “passer à autre chose” plutôt que les vendre.

Le jeune homme déclarait également avoir voulu mettre fin à ses activités criminelles dans l’année qui a précédé son arrestation. Et de préciser avoir été fier de ses activités bénévoles au DIVD et d’avoir été soulagé de ne plus avoir “à vivre une double vie”.