ZATAZ » Yemen Cyber Army : Cyber‑justice au Royaume‑Uni

Quand l’idéologie s’arme de lignes de code, le renseignement riposte. Un hacker pro‑Houthi, figure de la Yemen Cyber Army, vient d’écoper de 20 mois de prison ferme.

Al‑Tahery Al‑Mashriky, 26 ans, résident de Rotherham au Royaume‑Uni, a été condamné à 20 mois d’emprisonnement pour une série de cyberattaques revendiquées au nom de la Yemen Cyber Army et du Spider Team. Accusé d’avoir infiltré et défiguré plus de 3 000 sites dans le monde, il ciblait gouvernements, médias et structures confessionnelles pour des motifs politiques.

Le récit d’un pirate : d’un salon britannique aux réseaux djihadistes

Rotherham, banlieue tranquille du Yorkshire. Dans l’appartement d’un jeune homme de 26 ans, les rideaux sont tirés, la lumière artificielle domine. L’air sent le plastique chauffé des machines, les multiprises débordent. Sur un écran, des interfaces d’administration de sites piratés, des fichiers bruts, des adresses IP étrangères, des alias numériques. Depuis cette ville britannique sans histoire, Al‑Tahery Al‑Mashriky menait sa guerre.

Ce n’est pas l’argent qui motivait ses attaques, ni même un gain personnel. Ce qu’il poursuivait, c’était la visibilité. La diffusion d’un message. Proche des rebelles Houthis au Yémen, il se disait soldat numérique d’une cause géopolitique. Pour la faire avancer, il a défiguré les pages d’accueil de sites institutionnels, inséré des slogans hostiles à Israël, à l’Occident, ou diffusé des messages de soutien à la « résistance yéménite ». Une forme de djihadisme numérique, utilisant les failles des serveurs plutôt que les armes conventionnelles.

Mais derrière ces attaques se cachait un arsenal technique sophistiqué. Scripts automatisés, outils d’exploration de vulnérabilités, serveurs proxy pour masquer sa localisation. Il avait tout d’un professionnel. Et pourtant, c’est une erreur humaine, un lien entre deux adresses IP et une revendication trop visible sur un forum obscur (il était visible, entre autre sur BreachForums), qui a déclenché l’alerte du National Crime Agency (NCA).

Une traque internationale déclenchée par les services de renseignement

Les premières traces concrètes remontent à début 2022, quand les États‑Unis détectent une série d’intrusions sur des sites publics, dont celui de la California State Water Board. Des identifiants volés, des données sensibles récupérées, des pages internes transformées en vitrines de propagande.

Au même moment, les ministères yéménites de l’Information et des Affaires étrangères signalent des attaques répétées contre leurs infrastructures numériques. Les messages laissés sont similaires, toujours signés « Yemen Cyber Army » ou « Spider Team », accompagnés d’avatars d’Al‑Mashriky. L’empreinte est reconnaissable. En Israël, un site de presse est vidé de ses bases de données. Au Canada et aux États‑Unis, des structures confessionnelles sont prises pour cible. Le profil de l’auteur s’affine.

C’est une coopération entre les agences de renseignement britanniques et américaines qui permettra de croiser les adresses, remonter les pseudonymes, et localiser la source des connexions. L’opération est menée discrètement. Quand les agents du NCA frappent à sa porte, ils ne sont pas venus vérifier une simple infraction. Ils entrent avec des mandats, des experts en cyberanalyse et une liste de chefs d’inculpation longue de plusieurs pages.

Les disques durs saisis contiennent l’équivalent de plusieurs années d’activités illicites. Scripts d’injection SQL, bases de données Facebook regroupant les identifiants de plus de 4 millions d’utilisateurs, listes de mots de passe récupérés sur des plateformes de streaming, de paiement ou de messagerie. Et surtout, des preuves de connexions régulières à des panels d’administration piratés, appartenant à des institutions internationales.

D’un activisme numérique à la prison : justice et renseignement unis

Le procès a lieu à Sheffield. Al‑Mashriky plaide coupable à neuf chefs d’inculpation en vertu du Computer Misuse Act. Le ministère public présente une chronologie précise de ses méfaits : entre mars et juin 2022, plus de 3 000 sites web compromis, dont 70 % liés à des entités publiques ou stratégiques. Certains sont restés défigurés pendant des semaines, affectant leur crédibilité ou interrompant des services essentiels.

Mais ce que le juge retient surtout, c’est l’intention idéologique. Il ne s’agit pas d’un jeu, ni même d’un piratage opportuniste. C’est une campagne. Organisée, ciblée, politique. « Vous avez utilisé votre savoir-faire pour diffuser une cause extrémiste, en vous attaquant à des institutions démocratiques et à leurs citoyens. »

Paul Foster, directeur adjoint du NCA, le souligne également. Ce type d’attaque, sous couvert de « hacktivisme », a des conséquences bien réelles : « les sites affectés sont mis hors ligne, les données exposées, les usagers perturbés. Et surtout, le message transmis cherche à diviser, à radicaliser, à affaiblir. »

Le verdict tombe. 20 mois d’emprisonnement. Une peine courte au regard du nombre d’attaques, mais qui marque une reconnaissance judiciaire de la menace représentée par la cyber‑idéologie.

La guerre d’influence a changé de forme : écrans contre États

Ce que révèle cette affaire dépasse la seule trajectoire d’un hacker isolé. Elle illustre une transformation profonde de la conflictualité numérique. Loin des grandes attaques par ransomware ou des opérations militaires cyberclassiques, cette offensive s’inscrit dans une dynamique d’influence idéologique. Une guerre d’usure numérique, faite de mille petites intrusions, aux effets cumulatifs.

Le renseignement joue ici un rôle pivot. Sans interception des communications, sans recoupement des métadonnées, sans analyse comportementale des alias numériques, Al‑Mashriky serait resté dans l’ombre. Il opérait seul, mais dans un réseau d’idéologie partagée, où chaque action trouve écho sur les forums, les chaînes Telegram, les canaux alternatifs.

Il ne cherchait pas à dérober des fortunes. Il cherchait à diffuser des symboles. À inscrire sa signature là où il savait qu’elle serait vue. Chaque intrusion devenait un acte de communication. Et chaque réponse judiciaire devient, elle aussi, un signal : celui que l’espace numérique n’est plus une zone grise.

L’affaire montre aussi que les États adaptent leurs outils. L’usage du Computer Misuse Act, associé à des technologies d’enquête avancées, prouve que la justice ne se laisse plus distancer par la technologie. Ce n’est plus le Far West des années 2000. C’est un théâtre de sécurité, encadré, surveillé, analysé.