Deux membres du collectif de cybercriminalité ont plaidé coupables d’avoir compromis le réseau de TfL et perturbé les services en gare et en ligne.
Deux membres du collectif de cybercriminalité Scattered Spider ont reconnu avoir lancé une cyberattaque contre Transport for London (TfL) qui a causé des millions de dégâts.
Thalha Jubair, 20 ans, de l’Est de Londres, et Owen Flowers, 18 ans, de Walsall, dans les West Midlands, devaient être jugés lundi pour des infractions de piratage informatique à la Woolwich Crown Court, mais ont changé leur plaidoyer de culpabilité le premier jour de ce qui devait être un procès de six semaines.
La condamnation des deux hommes doit avoir lieu devant le même tribunal extérieur de Londres le 22 juillet.
Attention à l’écart
Jubair et Flowers ont compromis le réseau de TfL entre le 31 août et le 3 septembre 2024, lors d’une attaque qui a perturbé les services en station tels que les panneaux d’information, et les services en ligne tels que le portail de remboursement de TfL et les systèmes de demande de carte photo Oyster pour les jeunes.
La même attaque a également obligé les 28 000 employés du réseau de transport londonien à se rendre dans un bureau de TfL pour réinitialiser leur mot de passe. Une enquête de la BBC menée en mars 2026 a révélé que le piratage avait révélé les noms, adresses e-mail, numéros de téléphone portable et adresses physiques d’environ 10 millions de personnes.
TfL a subi un montant de 29 millions de livres sterling (38,2 millions de dollars) en pertes, en réponse aux incidents et autres coûts de récupération.
L’attaque a fait l’objet d’une enquête menée par la National Crime Agency du Royaume-Uni et la police de la ville de Londres. Les enquêteurs de la police ont rapidement identifié Flowers comme suspect avant son arrestation à son domicile le 6 septembre 2024.
L’analyse médico-légale des ordinateurs portables, des ordinateurs tours, des disques durs et des clés USB saisis au moment de l’arrestation de Flower a révélé des preuves selon lesquelles il avait également pénétré par effraction dans les systèmes des sociétés de soins de santé américaines SSM Health Care et Sutter Health.
Un ordinateur portable Acer saisi lors de l’arrestation contenait des vidéos montrant Jubair accédant aux systèmes TfL pendant l’attaque, selon un communiqué de la police sur l’affaire. Les deux hommes échangeaient des messages via le service de messagerie Telegram et utilisaient un espace de travail commun qu’ils partageaient avec d’autres cybercriminels.
Toile de destruction
Le groupe Scattered Spider a fait irruption sur la scène avec des attaques de ransomware contre Caesars Entertainment et MGM Resorts en 2023. Des attaques contre une grande variété de cibles dans plusieurs secteurs, notamment la vente au détail, l’hôtellerie, les télécommunications et l’aviation, ont suivi.
Les attaques britanniques liées à Scattered Spider incluent des attaques très médiatisées contre Jaguar Land Rover et le détaillant Marks and Spencer.
Scattered Spider est mieux considéré comme un réseau superposé d’équipes et d’affiliés largement anglophones plutôt que comme une organisation étroitement unie.
Le métier du groupe se caractérise par l’ingénierie sociale, l’usurpation d’identité auprès du service d’assistance, l’échange de cartes SIM dans le cadre d’extorsions activées par des ransomwares et d’autres escroqueries. En particulier, Scattered Spider a ciblé les fournisseurs de support informatique et de service d’assistance externalisés pour réinitialiser les informations d’identification et contourner les contrôles d’authentification multifacteur afin d’étendre leur accès aux réseaux des victimes.
Une alliance ou un collectif de groupes de cybercriminalité, dont Scattered Spider, Lapsus$ et ShinyHunters, a été créée l’année dernière.
Jubair et Flowers font partie du nombre croissant de membres du groupe condamnés pour délits informatiques.
Tyler Buchanan, un haut responsable du groupe, a été arrêté dans un aéroport espagnol en juin 2024.
Buchanan, 24 ans, de Dundee, en Écosse, a été extradé vers les États-Unis et a plaidé coupable en avril 2026 pour une escroquerie visant à voler 8 millions de dollars en monnaie virtuelle à au moins une douzaine d’entreprises ainsi qu’à de nombreux particuliers.
Le co-conspirateur Noah Michael Urban de Palm Coast, en Floride, a été emprisonné pendant 10 ans en avril 2025 après avoir plaidé coupable de délits aggravés d’usurpation d’identité et de fraude électronique.
D’autres poursuites restent en cours.
