Arrêté au Maroc en 2022, le hackeur Sébastien Raoult condamné à trois ans de prison par la justice américaine

Le hackeur français Sébastien Raoult, accusé par la justice américaine d'avoir fait partie d'un groupe de pirates informatiques qui a siphonné les données d'une soixantaine d'entreprises, a été condamné mardi à trois ans de prison par un juge de Seattle.

Par

Paul Raoult, le père de Sébastien, montre une photo de son fils à Épinal, en France, le 1er août 2022. Crédit: Jean-Christophe Verhaegen / AFP

Le magistrat l’a également condamné à rembourser cinq millions de dollars pour les pertes causées aux firmes victimes, selon un communiqué du parquet. « Je comprends mes erreurs et je veux mettre cette histoire derrière moi », a déclaré le jeune Français de 22 ans lors du prononcé de sa peine, d’après le communiqué. « Plus de piratage. Je ne veux pas décevoir à nouveau ma famille ».

Arrêté au Maroc en mai 2022, puis extradé huit mois plus tard aux Etats-Unis, cet ancien étudiant en informatique avait d’abord plaidé non coupable. Mais, en novembre, il a finalement fait volte-face en nouant un accord avec l’accusation.

Sébastien Raoult a reconnu être coupable d’association de malfaiteurs pour commettre une escroquerie informatique et d’usurpation d’identité aggravée. En échange, les procureurs ont abandonné sept autres chefs d’accusation à son encontre. Le parquet, qui dénonce dans son communiqué un jeune homme « dont le mobile était la pure cupidité », réclamait six ans d’emprisonnement.

Originaire d’Epinal, dans l’est de la France, Sébastien Raoult a admis avoir fait partie des « ShinyHunters », un groupe de pirates informatiques au sein duquel il se cachait derrière le pseudonyme « Sezyo Kaizen ». A partir de 2020, ces hackeurs ont dérobé les données confidentielles d’une soixantaine d’entreprises afin de les revendre sur le « dark web » (la zone clandestine d’internet), causant des pertes estimées à plus de six millions de dollars par la justice américaine.

à lire aussi

Le groupe comptait également deux autres jeunes français dans ses rangs : Abdel-Hakim El-Ahmadi et Gabriel Bildstein, un hackeur bien connu de la justice française. Mais la France n’extrade pas ses ressortissants et ils sont restés dans l’Hexagone. Sébastien Raoult était donc poursuivi seul dans cette affaire.

Son extradition par le Maroc, où il a passé des mois en prison dans des conditions déplorables après son arrestation à l’aéroport de Rabat, avait fait de son cas une affaire diplomatique. Sa famille et sa défense française ont tenté en vain de le faire extrader vers la France pour qu’il y soit jugé, allant jusqu’à saisir le Comité des droits de l’homme de l’ONU pour s’opposer à sa remise aux Etats-Unis.

Après cette condamnation, « on est quand même assez soulagé parce qu’on va pouvoir enfin passer à autre chose », a réagi son père, Paul Raoult, auprès de l’AFP. Il a toutefois souligné son « amertume vis-à-vis du gouvernement français qui a laissé tomber un de ses ressortissants en difficulté à l’étranger ». Entre ses mois de détention déjà effectués au Maroc et aux Etats-Unis, et une possible remise de peine, Sébastien Raoult pourrait être libéré et de retour en France « pour les fêtes de fin d’année 2024 », a-t-il calculé.

Sur le fond de l’affaire, « on n’aura jamais le fin mot car il n’y a pas eu de confrontation » avec les autres pirates informatiques, a-t-il estimé.

Selon la justice américaine, les « ShinyHunters » utilisaient un mode opératoire bien connu des hackeurs. Ils avaient créé des sites internet ressemblant aux pages d’authentification d’entreprises réelles. Avec des e-mails de hameçonnage imitant ceux de l’employeur, ils attiraient les salariés de ces organisations vers ces pages et récupéraient leurs identifiants.

Cela leur permettait de pénétrer dans les systèmes informatiques de ces firmes, afin de copier leurs fichiers clients et leurs informations financières. Des données qu’ils mettaient ensuite en vente sur des forums cybercriminels, cachés sur le « dark web ».

Selon l’accusation, Sébastien Raoult a « développé une partie substantielle du code et des sites web d’hameçonnage que lui et ses co-conspirateurs ont utilisés » pour leurs escroqueries.

Les « ShinyHunters » ont aussi fait chanter une vingtaine de victimes, en exigeant une rançon en cryptomonnaies pour ne pas mettre en vente les données dérobées. L’une d’elles a atteint 425.000 dollars, selon des documents judiciaires.

D’après différents experts, ils ont pris pour cible le compte de Microsoft sur la plateforme de partage de code informatique Github, le site d’e-commerce indonésien Tokopedia, la marque de vêtement américaine Bonobos ou encore l’opérateur téléphonique américain AT&T.