Tout comme les individus chassent et collectionnent les Pokémons brillants, les ShinyHunters collectent et revendent les données des utilisateurs”, expliquent à l’AFP les chercheurs de la société de cybersécurité Intel471, auteurs d’un rapport sur leurs activités.
Selon un acte d’accusation américain de juin 2021 visant Sébastien Raoult, consulté par l’AFP, les ShinyHunters se sont forgé une réputation pour avoir volé depuis 2019 les données de dizaines de sociétés à travers le monde, dont plusieurs entreprises aux États-Unis, puis d’avoir vendu certaines de ces données sur le darkweb.
D’après le FBI, l’équipe aurait piraté les comptes et réseaux informatiques de nombreuses sociétés, notamment grâce à des campagnes de hameçonnage par courrier électronique, appelées “phishing”, visant des employés qui utilisent des services très répandus, comme la plateforme de partage de code informatique Github, propriété du géant américain de l’informatique Microsoft.
De la vente à la diffusion des données
Selon différents experts interrogés par l’AFP, figureraient parmi leurs victimes le compte de Microsoft sur Github, le site d’e-commerce indonésien Tokopedia, la marque de vêtement américaine Bonobos, l’éditeur de PDF en ligne PDF Nitro ou encore l’opérateur téléphonique américain AT&T.
Sur la base d’adresses IP, de comptes reliés et de discussions sur Discord, entre autres, le FBI pense avoir identifié trois Français qui seraient membres du “groupe” ShinyHunters, dont Sébastien Raoult, 21 ans, incarcéré depuis début juin à Tifelt et qui pourrait être extradé dans les prochains mois vers les États-Unis.
La justice américaine vise aussi Abdel H. — aussi identifié sous les pseudonymes “Zac” et “Jordan Keso” — et Gabriel K. B., connu sous les noms de “Kuroi” et “Gnostic Players”, atteint d’un autisme Asperger.
Jugé en 2019 pour le piratage de la chaîne Vevo et du tube Despacito sur YouTube, Gabriel K. B. avait été déclaré pénalement irresponsable. Ce jeune génie de l’informatique de 23 ans est par ailleurs mis en examen dans une autre affaire, soupçonné d’avoir hacké, avec d’autres, la plateforme de cryptomonnaie Gatehub en 2019.
C’est en avril 2020 sur le désormais fermé RaidForums qu’est apparu pour la première fois le pseudo “ShinyHunters”, d’après les observations des chercheurs de l’entreprise de cybersécurité Intel471. Le premier coup d’éclat du groupe a lieu en mai suivant, lorsqu’il fait fuiter les données de 91 millions d’utilisateurs de Tokopedia, selon des rapports de la société de sécurité informatique Digital Shadows consultés par l’AFP.
“Les ShinyHunters étaient très populaires sur les forums. Ils recherchaient vraiment la reconnaissance des autres utilisateurs”
Les ShinyHunters ont d’abord cherché à vendre leurs premières bases de données. Mais à partir de juillet 2020, des publications mentionnent une “phase 2”, qui consisterait à diffuser gratuitement ces bases de données sur des forums de hackers, explique l’analyste de Digital Shadows Ivan Righi. “Ils étaient très populaires sur les forums, affirme le spécialiste en cybersécurité. Ils recherchaient vraiment la reconnaissance des autres utilisateurs”, selon un rapport transmis par Ivan Righi.
“Au début, ils cherchaient davantage à se faire un nom sur le darkweb, et un peu d’argent, car une base de données ne se revend pas très cher”, estime également auprès de l’AFP Angelina Shelest, analyste pour la start-up française de cybersécurité CybelAngel, qui surveille les fuites qui émanent du groupe.
Mais à partir d’avril 2021, les ShinyHunters seraient entrés dans leur troisième phase : menacer les entreprises de diffuser leurs données pour obtenir une rançon, d’après les messages observés par l’analyste Ivan Righi.
La justice américaine accuse par exemple le compte “ShinyHunters” d’avoir fait chanter en mars 2021 un responsable d’une société indienne, exigeant 1,2 million de bitcoins pour ne pas faire fuiter l’ensemble de leurs données.
Des cybercriminels ?
Plusieurs experts interrogés soupçonnent les ShinyHunters d’être liés à d’autres groupes cybercriminels, comme les GnosticPlayers. “Les enquêteurs disent que GnosticPlayers s’est transformé en ShinyHunters. Mais ce sont deux affaires complètement différentes”, proteste de son côté Nassim B., un ami de Sébastien Raoult, se décrivant comme un “autodidacte” de l’informatique vivant “très simplement”.
“On n’est pas un gang de cybercriminels, on est une bande de passionnés par l’informatique”
Ce Grenoblois de 23 ans, lui aussi jugé en 2019 au côté de Gabriel K. B. pour le piratage de la chaîne Vevo, et mis en examen dans le dossier Gatehub, raconte à l’AFP avoir été interrogé par des enquêteurs français et américains fin mai, au même moment que l’arrestation de Sébastien Raoult au Maroc.
“Pendant les interrogatoires, le FBI citait une trentaine de pseudonymes, et nous demandait si on savait de qui il s’agissait”, dit Nassim B., qui clame son innocence et celle de Sébastien Raoult dans les attaques attribuées à ShinyHunters. “On n’est pas un gang de cybercriminels, on est une bande de passionnés par l’informatique”, plaide-t-il.
Nassim, qui dit bien connaître “Sezyo”, alias Sébastien Raoult, décrit ses copains hackers comme “une communauté d’amis qui se connaissent depuis 2012, ayant comme point commun la passion pour Internet” et le goût de pirater pour “la sensation d’avoir réussi (un) exploit”.
“On pirate sous pseudonyme”, dit-il. “C’est facile d’usurper l’attaque de quelqu’un, de faire des fausses pistes, de faire en sorte d’attribuer des attaques à d’autres”, plaide le jeune homme.
Deux sources proches du dossier ont confirmé que des hackers avaient été placés en garde à vue en France en mai et juin dans le cadre d’une demande d’entraide des États-Unis sur les ShinyHunters.
Mattys S., 21 ans, affirme lui aussi avoir été interrogé par les enquêteurs le 31 mai dans le sud de la France sur les cyberattaques attribuées à ShinyHunters. “On n’a rien à voir avec ça. Il n’y a jamais eu vraiment de groupe (…) les actes (de piratage) sont faits régulièrement par des personnes, de façon aléatoire.”
Selon Ivan Righi, les ShinyHunters ont, depuis le démantèlement de Raidforum, “migré vers BridgeForum, et il apparaît qu’ils ont cessé leurs opérations, ou ne souhaitent pas s’impliquer au sein de la communauté”.
En France, la famille de Sébastien Raoult — ex-étudiant en informatique à Épinal — multiplie les démarches et conférences de presse, pour réclamer son extradition vers la France plutôt que vers les États-Unis.
L’avocat de Sébastien Raoult a ainsi adressé lundi 23 août des courriers au président Emmanuel Macron, à la Première ministre Élisabeth Borne et aux ministères de la Justice et des Affaires étrangères, dénonçant la “situation judiciaire inadmissible” s’apparentant à “un trou noir juridictionnel” du jeune homme.
“Au lieu d’un procès commun en France, voilà qu’on a sacrifié Sébastien Raoult pour qu’il soit jugé seul aux États-Unis, c’est scandaleux et contraire aux droits fondamentaux”, a réagi auprès de l’AFP Me Philippe Ohayon.