
Des pirates britanniques emprisonnés pour une cyberattaque contre les transports londoniens ayant coûté 29 millions de livres
Thalha Jubair, 20 ans, et Owen Flowers, 18 ans, ont été condamnés à cinq ans et demi de prison chacun pour le piratage d'août-septembre 2024 qui a contraint Transport for London à débrancher ses systèmes et a exposé les données de millions d'usagers.
L'attaque
Entre le 31 août et le 3 septembre 2024, Jubair et Flowers ont pénétré les systèmes de TfL après qu'un complice a appelé le service d'assistance en se faisant passer pour un employé afin de réinitialiser les identifiants de connexion. Ils ont élevé leurs privilèges pour créer un compte administrateur de domaine, décrit au tribunal comme « les clés du royaume ». Les deux hommes ont fouillé les bases de données clients à la recherche de célébrités, compromis les systèmes de remboursement et fermé le portail de demande de photo Oyster pour les jeunes. TfL a été contraint de déconnecter ses systèmes pour stopper l'intrusion.
Cette attaque a été le pire incident que j'aie connu dans ma carrière.
- Les pirates obtiennent un accès initial aux systèmes de TfL via une ingénierie sociale auprès du service d'assistance.
- TfL déconnecte ses systèmes pour stopper l'attaque après quatre jours.
- Jubair et Flowers plaident coupables du piratage de TfL.
- Tous deux condamnés à cinq ans et demi de prison.
Conséquences et coûts
La perte financière directe a atteint 29 millions de livres, bien que certains rapports avancent un total de 39 millions de livres. Les 28 000 employés de TfL ont dû réinitialiser leurs mots de passe en personne. Le service Dial-a-Ride destiné aux passagers handicapés n'a pas pu traiter les réservations pendant des semaines, et les applications d'arrivée en temps réel telles que TfL Go et Citymapper ont été hors ligne. Les données de millions d'usagers ont été volées. Les procureurs ont indiqué que les pirates auraient pu causer des « dégâts catastrophiques » et, si les systèmes n'avaient pas été déconnectés, les pertes indirectes potentielles auraient pu atteindre 56 milliards de livres.
Les pirates
Jubair, 20 ans, de Tower Hamlets, avait 22 condamnations antérieures, notamment pour harcèlement et piratages de BT/EE, Nvidia et de la police de la Cité de Londres. Il a également été inculpé aux États-Unis pour complot en vue de commettre une fraude informatique, une fraude électronique et un blanchiment d'argent, accusé d'avoir extorqué 115 millions de dollars de rançons. Flowers, 18 ans, de Walsall, a été arrêté alors qu'il piratait deux prestataires de soins de santé américains, SSM Health et Sutter Health, quelques jours seulement après l'attaque contre TfL. Tous deux vivaient chez leurs parents, communiquaient via Telegram, et Flowers a diffusé l'attaque en direct. Jubair a été identifié en partie parce qu'il a commandé un plat à emporter chez lui en utilisant des bons d'achat achetés avec une cryptomonnaie liée à un serveur stockant les rançons.
Perturbation de Scattered Spider
Les deux hommes étaient des membres centraux de Scattered Spider, un collectif informel de pirates anglophones lié à des attaques contre MGM, Marks & Spencer, Harrods et d'autres. Paul Foster, chef de l'Unité nationale de lutte contre la cybercriminalité (NCA), a déclaré que les condamnations avaient « gravement affaibli » la capacité du groupe à opérer.
Scattered Spider a été la menace de cybercriminalité la plus significative pour le Royaume-Uni ces dernières années. Grâce à cette enquête, nous avons gravement perturbé cette menace et traduit les principaux auteurs en justice.
Peines prononcées
À la Woolwich Crown Court le 16 juillet 2026, le juge Mark Turner a condamné les deux hommes à cinq ans et demi de prison. Il a reconnu leur jeunesse mais a estimé que la gravité du crime exigeait une peine ferme, notant qu'ils étaient « principalement motivés par une bravade égoïste, sans se soucier des conséquences graves pour autrui ».


