Affaire ShinyHunters : Sébastien Raoult plaide coupable devant la justice américaine

L’affaire ShinyHunters vient de connaitre un tournant étonnant. Le français Sébastien Raoult, arrêté au Maroc et extradé aux Etats-Unis plaide coupable devant la justice américaine. Il risque dorénavant 29 ans de prison fédérale !

En mai 2022, un jeune homme de 22 ans originaire d’Epinal [France], a été arrêté au Maroc, sur demande des autorités américaines. Il était accusé de faire partie du groupe de pirates informatiques connu sous le nom de ShinyHunters. Cette arrestation a marqué le début d’une saga judiciaire internationale qui a récemment pris un tournant inattendu. Tout a débuté le dernier jour de décembre, dernier délais pour la justice marocaine de valider, ou non, l’extradition vers le sol de l’Oncle Sam.

L’Accusation

Au moment de son arrestation, Sébastien Raoult (alias Sezyo Kaizen) avait toujours clamé son innocence, malgré les preuves accumulées par la justice américaine. Il avait plaidé non coupable en début d’année 2023, avec un procès prévu pour 2024. Sa famille annonçait à l’AFP, lors de son arrestation, être très étonné de ces accusations. Suivant la ligne de défense du jeune homme et de son conseil juridique.

Cependant, l’histoire a pris un nouveau virage lorsque Raoult a décidé de faire un revirement spectaculaire, il y a quelques jours, en reconnaissant sa culpabilité pour deux infractions graves : la fraude électronique (wire fraud) et le vol aggravé d’identité. Un accord avec le Département de la Justice US lui permettant d’éviter les autres accusations.

Marchandage de peine

Sébastien Raoult, autrefois confronté à sept chefs d’inculpation et à une peine potentielle de 116 ans de prison, a finalement accepté de plaider coupable pour deux délits spécifiques. Le premier, la fraude électronique, peut lui valoir une peine maximale de vingt-sept ans, tandis que le second, le vol aggravé d’identité, comporte une peine minimale de deux ans. Cela marque un tournant majeur dans cette affaire, mais le quantum de la peine reste inconnu à ce stade.

La police fédérale américaine a mené une enquête approfondie qui a révélé des preuves accablantes contre Sébastien Raoult. Les enquêteurs ont notamment utilisé son adresse IP (Internet Protocol), une adresse unique attribuée à chaque appareil sur le réseau, pour le relier à l’accès à deux sites malveillants ainsi qu’à son compte personnel sur GitHub. De plus, ses échanges sur le réseau social Discord ont également joué un rôle crucial dans la découverte de sa culpabilité.

L’Extradition et les ShinyHunters

Sébastien Raoult, vivant au Maroc au moment de son arrestation, a été extradé vers Seattle en janvier 2023. Il a finalement admis qu’il était bel et bien membre du groupe de cybercriminels ShinyHunters. Ce groupe a été actif entre avril 2020 et juillet 2021, selon la justice américaine. L’accusation affirme également que deux autres jeunes Français, Abdel-Hakim El-Ahmadi et Gabriel Bildstein, faisaient partie de ce groupe, bien qu’ils soient restés en France et n’aient pas été extradés. Deux pirates connus de la justice françaises.

Le nom du groupe, ShinyHunters, fait référence à un terme propre à la communauté des amateurs de jeux Pokémon, auquel Gabriel Bildstein (alias « Kuroi » ou « Gnostic Players ») était un fervent adepte. Dans un courriel divulgué à des magistrats, Bildstein a expliqué que ses débuts dans le piratage informatique étaient liés à des insultes reçues de joueurs lors de parties en ligne de Pokémon Showdown.

En juin 2023, un pirate connu sous le pseudo de Shni [shinyHunters] indiquait que Raoult n’avait rien à voir avec son groupe ! – Capture : zataz.com

Un ami de Sébastien Raoult, Nassim B. [Prosox], impliqué dans une autre affaire de cybercriminalité en France, a déclaré à l’AFP que les ShinyHunters n’étaient pas un « gang de cybercriminels », mais plutôt un groupe de passionnés d’informatique qui cherchaient la satisfaction de réussir un exploit. Sauf que… l’accord de plaider-coupable révèle que Sébastien Raoult a joué un rôle crucial en développant « une part substantielle » des pages d’hameçonnage (phishing) utilisées par le groupe ShinyHunters. Le document du DoJ que ZATAZ a pu consulter explique : « Raoult a contribué à la création de sites Web prétendant être des pages de connexion appartenant à des entreprises légitimes. Les conspirateurs ont envoyé des courriels de phishing aux employés de l’entreprise, conçus pour donner l’impression qu’ils provenaient d’entreprises légitimes et contenant des liens vers ces pages de connexion. Les victimes ont fourni leurs identifiants de connexion à leur compte sur ces fausses pages de connexion, et les conspirateurs ont obtenu les identifiants des victimes. Raoult et ses co-conspirateurs ont utilisé les informations de connexion pour pirater les comptes des victimes, voler les données qui y sont stockées et rechercher dans les données volées des informations d’identification permettant d’accéder à des données supplémentaires sur les réseaux d’entreprises et de fournisseurs de services tiers, tels que les services de stockage en cloud. »

Après avoir piraté leurs victimes, le groupe s’appropriait des données confidentielles, telles que des numéros de cartes bancaires, qui étaient ensuite vendues sur le marché noir en ligne ou utilisées pour réclamer des rançons. Les attaques des ShinyHunters ont eu un impact financier significatif sur les entreprises visées, telles que Pixlr, Bonobos, Nitro et Tokopedia. Les pertes ont été évaluées à plus de 6 millions de dollars. ShinyHunters a enregistré des ventes de données piratées provenant de plus de 60 entreprises. Parfois, les pirates menaçaient de divulguer ou de vendre des fichiers sensibles volés si la victime ne payait pas de rançon.

Très étonnamment, le fondateur d’un forum anglophone de pirates, copie de Raid Forum, espace fermé par le FBI il y a 2 ans, où il était possible de croiser les pirates français, a été mis en place par un administrateur qui signe sous le pseudonyme de ShinyHunters.

Ce dernier expliquait, en juin, que Raoult n’avait jamais fait parti des ShinyHunters « Selon mes connaissances, ses activités se limitaient à la vente de comptes AWS compromis sur des groupes de carding Telegram à des fins personnelles. Toute accusation portée contre lui en lien avec ShinyHunters refléterait davantage sur le système judiciaire américain que sur nos propres opérations. » A première vue, le jeune français vient de contre dire son ancien collègue de malveillance.