Cyberattaque TfL : deux hackers condamnés à 5 ans et demi de prison
Thalha Jubair et Owen Flowers, membres de Scattered Spider, ont paralysé 148 systèmes de Transport for London pendant quatre jours
Thalha Jubair et Owen Flowers, membres du collectif Scattered Spider, écopent de peines de prison ferme pour avoir paralysé Transport for London pendant quatre jours en 2024.
Les enjeux
Ce qu'il faut comprendre
Vulnérabilité des infrastructures critiques
Deux adolescents ont paralysé 148 systèmes d'un opérateur de transport majeur pendant quatre jours sans être détectés. Cette faille révèle des défauts structurels de sécurité dans les infrastructures publiques britanniques.
Coût économique des cyberattaques
39 millions de livres de dégâts pour TfL, dont 29 millions uniquement en réparation des systèmes. Les procureurs ont estimé qu'une paralysie complète aurait coûté des milliards à l'économie britannique.
Données personnelles de millions d'usagers exposées
Entre 7 et 10 millions de clients de TfL ont vu leurs informations personnelles compromises. Aucune indication publique sur l'usage qui a été fait de ces données par les hackers.
Montée en puissance de Scattered Spider
Ce collectif de hackers cible des infrastructures critiques à l'échelle mondiale. Plusieurs membres sont sous le coup de poursuites au Royaume-Uni et aux États-Unis, signalant une coordination internationale.
L'essentiel
Ce qu'il faut retenir
- Thalha Jubair (20 ans) et Owen Flowers (18 ans) condamnés à 5 ans et 6 mois de prison ferme chacun
- 148 systèmes de Transport for London rendus inopérants pendant quatre jours en septembre 2024
- Données personnelles de 7 à 10 millions d'usagers compromises, 28 000 employés contraints de réinitialiser leurs mots de passe
- Coût total 39 millions de livres sterling, dont 29 millions pour la réparation des systèmes
- La NCA qualifie ce dossier de plus grande poursuite pénale jamais menée contre des cybercriminels au Royaume-Uni
La salle d’audience de Woolwich Crown Court est silencieuse quand le juge Mark Turner prononce la peine: cinq ans et six mois de prison ferme. Deux fois. Thalha Jubair, 20 ans - et Owen Flowers, 18 ans - baissent la tête. Ils avaient plaidé coupable en juin 2026. Trop tard pour négocier.
Les deux condamnations reposent sur le Computer Misuse Act 1990, la loi britannique qui punit l’accès non autorisé à des systèmes informatiques. Jubair traîne aussi 22 infractions antérieures - dont des fraudes couvertes par le Theft Act. Le juge a tenu compte de ce passé pour calibrer la peine.
Entre le 31 août et le 3 septembre 2024 - ces deux adolescents ont eu le réseau de Transport for London (TfL) à leur merci. Quatre jours pendant lesquels ils auraient pu paralyser complètement l’opérateur. Ils ne l’ont pas fait. Pas par prudence, par ego. Le juge le dit crûment: leurs actions étaient « principalement motivées par une fanfaronnade égoïste » - ignorant les « graves conséquences pour les autres ».
148 systèmes désactivés, des millions d’usagers exposés
L’attaque a rendu inopérants 148 systèmes internes. Applications de paiement sans contact, portails d’information voyageurs, outils de gestion du personnel, tout s’est éteint. Les données personnelles (noms et coordonnées) de 7 à 10 millions de clients ont été compromises. Les 28 000 employés de TfL ont dû réinitialiser leurs mots de passe en personne, un par un. Certains services en ligne sont restés hors ligne pendant trois mois.
Andy Lord - le chef de TfL, qualifie cette attaque du pire incident de sa carrière. Le coût total: 39 millions de livres sterling. Dont 29 millions uniquement pour réparer les systèmes informatiques.
Quatre jours d’accès sans détection: une faille béante
Deux adolescents ont pénétré les systèmes d’un opérateur de transport majeur et y sont restés quatre jours sans être repérés. Pendant cette période, ils ont désactivé 148 systèmes - applications de paiement, portails internes, outils de gestion, sans qu’aucune alerte ne se déclenche. Cette invisibilité révèle des défauts structurels dans la détection des intrusions de TfL. Aucun audit de sécurité préalable raté, aucune faille connue mais non colmatée n’a été mentionné au procès. Le dossier ne dit rien sur ce qui a permis à Jubair et Flowers de naviguer si longtemps dans l’infrastructure sans être inquiétés. Paul Keleher - l’avocat de Flowers, a tenté de plaider la manipulation par des criminels en ligne plus expérimentés. Ça n’a pas suffi à convaincre le tribunal.
Scattered Spider: un collectif qui frappe à l’échelle mondiale
Jubair et Flowers ne sont pas des hackers isolés. Ils appartiennent à Scattered Spider - un collectif actif sur plusieurs continents qui cible des infrastructures critiques, transports, santé, finance. Owen Flowers a admis avoir conspiré pour pirater deux entreprises de santé américaines, Sutter Health et SSM Healthcare Corporation. Un autre membre présumé du groupe, Peter Stokes - a été extradé vers les États-Unis en avril 2026 pour faire face à des accusations d’extorsion. La National Crime Agency (NCA), qui a mené l’arrestation en septembre 2025 avec la police de la City de Londres, qualifie ce dossier de « plus grande poursuite pénale jamais menée contre des acteurs de la cybercriminalité au Royaume-Uni ». Le collectif opère de manière décentralisée, ses membres ne se connaissent pas toujours entre eux, mais partagent des techniques et des cibles. Cette condamnation ne démantèle pas le groupe. Elle en isole deux membres.
Ce que les procureurs ne disent pas
Les procureurs ont martelé un argument: Jubair et Flowers auraient pu « paralyser complètement TfL » - causant des dégâts considérables à l’économie britannique. Ils ne l’ont pas fait. Pourquoi? Aucune source ne l’explique. Incompétence technique? Peur des conséquences? Manque de motivation financière? Le dossier ne dit rien sur ce qui a freiné les deux hackers une fois dans la place.
Un coût qui aurait pu exploser
Le tribunal a entendu que les perturbations causées étaient « très graves ». Mais les chiffres auraient pu être autrement plus lourds. Si les hackers avaient choisi de bloquer le métro, les bus, les systèmes de paiement à l’heure de pointe, l’impact économique se serait compté en milliards selon plusieurs sources. Ils ont choisi de ne pas aller jusque-là. Cette retenue, involontaire ou calculée, leur a probablement évité une peine bien plus sévère.
Le juge Turner a accepté que leur motivation première était du « selfish bravado », de la frime égoïste. Pas un projet terroriste, pas une attaque d’État, pas même une extorsion structurée. Juste deux gamins qui voulaient prouver qu’ils en étaient capables. Onze ans de prison au total pour se la péter.
On se souvient que Peter Stokes, autre membre présumé du collectif, a été extradé vers les États-Unis quatre mois plus tôt pour des accusations d’extorsion. Les autorités britanniques et américaines coordonnent désormais leurs efforts contre ce groupe décentralisé qui continue de cibler des infrastructures sensibles des deux côtés de l’Atlantique.
Sources
- Two hackers jailed for London transport cyberattack
- Hackers who attacked Transport for London jailed
- TfL cyberattack: Thalha Jubair and Owen Flowers jailed
- Hackers behind 2024 cyber-attack on Transport for London jailed
- Cyberhackers who targeted TfL jailed for more than five years each
- Scattered Spider hackers sentenced for TfL attack
- Two sentenced for hacking Transport for London
- Source verifiee (correction factuelle)
- Source verifiee (correction factuelle)
