Deux adolescents britanniques, soupçonnés d’appartenir au collectif Scattered Spider, contestent les charges de cyberattaque contre TfL, dans un dossier où le risque encouru va jusqu’à la perpétuité.
Les poursuites visant deux jeunes Britanniques, accusés d’avoir participé à une cyberattaque contre Transport for London, placent le collectif anglophone Scattered Spider au cœur d’un dossier hautement sensible pour la cybersécurité du Royaume-Uni. Thalha Jubair, 19 ans, et Owen Flowers, 18 ans, ont plaidé non coupables devant la cour de Southwark, malgré des charges parmi les plus graves prévues par le Computer Misuse Act. Les autorités les soupçonnent d’avoir ciblé une infrastructure jugée essentielle et d’avoir comploté contre des opérateurs de santé américains. L’affaire illustre à la fois la montée en puissance des groupes anglophones, l’imbrication des enquêtes entre NCA, FBI et DOJ, et les contraintes juridiques britanniques qui interdisent de préjuger la culpabilité des suspects avant le procès.
Une cyberattaque contre un maillon critique des transports londoniens
L’épisode judiciaire trouve son origine dans une cyberattaque visant Transport for London, l’organisme qui supervise le réseau de transport de la capitale britannique. L’incident, survenu l’an dernier, a provoqué d’importantes perturbations opérationnelles et, selon la National Crime Agency, des pertes chiffrées à plusieurs millions d’euros pour TfL. Pour les autorités, l’attaque a touché un service considéré comme une infrastructure nationale essentielle, ce qui explique le niveau de gravité retenu dans les chefs d’accusation.
Owen Flowers, 18 ans, avait d’abord été interpellé peu après cette attaque en septembre 2024, puis remis en liberté sous caution. En septembre de cette année, lui et Thalha Jubair, 19 ans, ont été à nouveau arrêtés à leurs domiciles respectifs, à l’est de Londres pour le premier, à Walsall pour le second, par des agents de la NCA. À l’issue de cette nouvelle phase d’enquête, les deux suspects ont été placés en détention provisoire, ce qui traduirait, au vu des éléments disponibles, la perception d’un risque sérieux par les autorités judiciaires.
Les deux jeunes hommes sont poursuivis au titre du Computer Misuse Act, la loi britannique encadrant l’usage non autorisé des systèmes informatiques. Une partie des chefs retenus relève de la catégorie la plus élevée des cyberdélits en droit anglais : complot en vue de commettre un acte non autorisé sur un système informatique entraînant, ou susceptible d’entraîner, un risque de préjudice grave au bien-être humain ou à la sécurité nationale. Pour ce type d’infraction, la peine maximale encourue est la prison à vie, ce qui place ces faits au sommet de l’échelle pénale pour des cyberattaques.
Devant la cour de la Couronne de Southwark, à Londres, les deux suspects ont plaidé non coupables. Ce refus de reconnaître les faits signifie que l’affaire sera jugée devant un jury, sur la base des preuves qui seront présentées au procès. Dans ce contexte, la NCA insiste sur la longueur et la complexité de l’enquête. Paul Foster, chef de l’unité nationale de lutte contre la cybercriminalité, a décrit les poursuites comme une étape clé dans un dossier où l’attaque a causé des perturbations majeures à TfL et occasionné des pertes « de plusieurs millions d’euros » pour ce service public vital.
Pour les enquêteurs spécialisés, la nature de la cible – un opérateur de transport urbain de premier plan – fait basculer la cyberattaque dans une dimension de sécurité nationale. Au-delà du préjudice économique, c’est la continuité des services de mobilité, la confiance du public dans les systèmes de billetterie, d’information voyageurs et de gestion opérationnelle qui est en jeu. La qualification d’attaque contre une infrastructure essentielle répond précisément à cette dimension stratégique, où la menace numérique rejoint le champ des risques systémiques pour les grandes métropoles.
Des liens allégués avec des cibles américaines sensibles
L’affaire dépasse rapidement le périmètre londonien. À la suite de la première arrestation d’Owen Flowers en 2024, la NCA affirme avoir découvert des éléments laissant penser que le jeune homme pourrait être impliqué dans d’autres opérations, cette fois-ci contre des acteurs de la santé aux États-Unis. Ces investigations supplémentaires ont conduit à de nouveaux chefs d’accusation, toujours contestés par l’intéressé.
Outre l’attaque présumée contre TfL, Flowers est désormais poursuivi pour complot en vue d’infiltrer et de dégrader les réseaux de SSM Health Care Corporation, ainsi que pour tentative d’accès illicite aux systèmes de Sutter Health, deux organisations américaines du secteur de la santé. Là encore, il a plaidé non coupable. Pour les autorités, le ciblage de structures médicales introduit une dimension particulière de risque : l’atteinte potentielle à la disponibilité des soins, aux données médicales et, par extension, au bien-être de patients, justifie l’inscription de ces faits parmi les infractions les plus graves.
Thalha Jubair, de son côté, est confronté à une accusation supplémentaire : refus de communiquer aux enquêteurs les codes d’accès permettant de déverrouiller les appareils saisis. Il a également plaidé non coupable à ce titre. Ce type d’inculpation illustre un enjeu récurrent des enquêtes cyber modernes, où le chiffrement généralisé des terminaux et des services en ligne rend l’accès aux preuves très dépendant de la coopération, ou non, des suspects. Le refus de remettre les moyens d’accès devient lui-même un acte pénalement poursuivi, au croisement entre protection de la vie privée, secret des communications et impératif d’investigation.
Le ministère américain de la Justice a, en parallèle, rendu publique une plainte ciblant Jubair, l’accusant de crimes informatiques. Sans entrer dans des détails supplémentaires sur les faits reprochés, cette mise en cause illustre l’imbrication croissante entre investigations britanniques et américaines dans les affaires de cybercriminalité. D’un côté, la NCA coordonne les aspects liés aux attaques sur sol britannique ; de l’autre, le DOJ suit les retombées sur les infrastructures et entreprises américaines, avec un arsenal juridique distinct mais articulé autour des mêmes acteurs présumés.
C’est dans ce contexte que la NCA rappelle la menace croissante posée par les groupes cybercriminels anglophones, à commencer par le collectif informel connu sous le nom de Scattered Spider. Ce groupe, auquel les deux suspects sont associés dans les communications officielles, est considéré comme lié à de nombreuses attaques au Royaume-Uni et aux États-Unis. Par son mode opératoire, fondé sur des techniques avancées d’ingénierie sociale et sur l’exploitation des accès privilégiés, Scattered Spider illustre la montée d’équipes très jeunes, anglophones, capables de viser aussi bien des infrastructures publiques que de grands groupes privés.
Paul Foster souligne la coopération renforcée entre la NCA, les forces de police britanniques et leurs partenaires internationaux, dont le FBI. L’objectif affiché est d’identifier les individus qui se cachent derrière ces alias en ligne et de s’assurer qu’ils répondent de leurs actes devant la justice. Cette coopération n’est pas seulement symbolique : elle conditionne la collecte de preuves numériques réparties sur plusieurs juridictions, la synchronisation des arrestations et l’éventuel partage de dossiers entre systèmes judiciaires nationaux.
Pression maximale sur la NCA et contraintes du cadre juridique
Les poursuites visant Jubair et Flowers s’inscrivent dans un calendrier particulièrement chargé pour l’unité de lutte contre la cybercriminalité de la NCA. Celle-ci est mobilisée sur plusieurs enquêtes d’ampleur, dont le piratage de TfL, une attaque contre l’Agence d’aide juridique, deux incidents distincts touchant le Service national de santé (NHS), ainsi que des intrusions visant trois grandes enseignes de distribution : Marks & Spencer, la Coopérative et le grand magasin de luxe Harrods.
Ce faisceau d’affaires illustre une tendance lourde : la surface d’attaque couverte par les groupes cybercriminels s’étend désormais des services publics essentiels à la santé, en passant par la justice et la grande distribution. Pour les autorités, ces investigations multiples exigent de concilier des capacités techniques avancées, une coopération interservices renforcée et une gestion fine de l’opinion publique, particulièrement sensible lorsqu’il s’agit d’attaques contre des marques grand public ou des institutions de confiance.
Dans ce contexte, les déclarations de Hannah Von Dadelszen, procureure en chef du Crown Prosecution Service, prennent un relief particulier. Elle rappelle que les équipes du CPS ont évalué les preuves disponibles et conclu qu’elles étaient suffisantes pour présenter l’affaire devant les tribunaux, et que l’ouverture de poursuites pénales répondait à l’intérêt public. Ce double critère – solidité probatoire et intérêt général – est central dans la décision de porter une affaire de cybercriminalité de cette envergure devant un jury.
Mais le système juridique britannique impose une contrainte majeure à la couverture médiatique et au débat public : les lois sur l’outrage au tribunal. Celles-ci interdisent de préjuger du verdict d’un procès devant jury, notamment en suggérant la culpabilité ou l’innocence des suspects, en publiant des informations sur d’éventuelles condamnations antérieures, ou en spéculant sur leur personnalité. La répétition de ce rappel dans les communications officielles souligne l’équilibre délicat entre transparence sur la menace cyber et respect des droits de la défense.
Pour les observateurs du renseignement et de la cybersécurité, ces limites juridiques sont structurantes. Elles obligent à analyser le dossier en termes de risques, de méthodes et de coopération internationale, plutôt que de se focaliser sur la responsabilité présumée des individus avant l’issue du procès. Elles rappellent aussi que la montée en puissance de groupes comme Scattered Spider se joue autant sur le terrain technique que sur celui de l’État de droit : capacité à enquêter, à coordonner les poursuites entre pays et à juger ces affaires sans céder à la tentation de préjuger.
La NCA, de son côté, doit composer avec une pression opérationnelle croissante. L’enquête sur la cyberattaque contre TfL, cumulée avec les autres incidents cités, met en lumière un niveau d’activité sans précédent pour l’unité nationale de lutte contre la cybercriminalité. Dans ce contexte, l’affaire Jubair–Flowers devient un test grandeur nature : démontrer que, face à un collectif comme Scattered Spider, les autorités britanniques et leurs partenaires américains peuvent non seulement attribuer les attaques, mais aussi porter les dossiers jusqu’au procès, dans le strict respect des règles qui encadrent la justice pénale.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes exploitables, priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
Pendant ce temps, un jeune pirate jordanien a été montré du doigt par d’anciens camarades. Le gestionnaire de BreachForums. Le pirate a été « doxé » et l’intégralité de ses informations personnelles ont été diffusées sur Internet.
