Cyberattaque TfL : deux hackers condamnés à 5 ans et demi de prison

Thalha Jubair et Owen Flowers, membres de Scattered Spider, ont paralysé 148 systèmes de Transport for London pendant quatre jours

Cyberattaque TfL : deux hackers condamnés à 5 ans et demi de prison
Cyberattaque TfL : deux hackers condamnés à 5 ans et demi de prison Illustration info.fr
Écouter cet article 0:00 --:--

Thalha Jubair et Owen Flowers, membres du collectif Scattered Spider, écopent de peines de prison ferme pour avoir paralysé Transport for London pendant quatre jours en 2024.

Les enjeux

Ce qu'il faut comprendre

Vulnérabilité des infrastructures critiques

Deux adolescents ont paralysé 148 systèmes d'un opérateur de transport majeur pendant quatre jours sans être détectés. Cette faille révèle des défauts structurels de sécurité dans les infrastructures publiques britanniques.

Coût économique des cyberattaques

39 millions de livres de dégâts pour TfL, dont 29 millions uniquement en réparation des systèmes. Les procureurs ont estimé qu'une paralysie complète aurait coûté des milliards à l'économie britannique.

Données personnelles de millions d'usagers exposées

Entre 7 et 10 millions de clients de TfL ont vu leurs informations personnelles compromises. Aucune indication publique sur l'usage qui a été fait de ces données par les hackers.

Montée en puissance de Scattered Spider

Ce collectif de hackers cible des infrastructures critiques à l'échelle mondiale. Plusieurs membres sont sous le coup de poursuites au Royaume-Uni et aux États-Unis, signalant une coordination internationale.

L'essentiel

Ce qu'il faut retenir

Faits vérifiés
  • Thalha Jubair (20 ans) et Owen Flowers (18 ans) condamnés à 5 ans et 6 mois de prison ferme chacun
  • 148 systèmes de Transport for London rendus inopérants pendant quatre jours en septembre 2024
  • Données personnelles de 7 à 10 millions d'usagers compromises, 28 000 employés contraints de réinitialiser leurs mots de passe
  • Coût total 39 millions de livres sterling, dont 29 millions pour la réparation des systèmes
  • La NCA qualifie ce dossier de plus grande poursuite pénale jamais menée contre des cybercriminels au Royaume-Uni
5 faits vérifiés 9 sources mis à jour le 18 juillet à 16:44

La salle d’audience de Woolwich Crown Court est silencieuse quand le juge Mark Turner prononce la peine: cinq ans et six mois de prison ferme. Deux fois. Thalha Jubair, 20 ans - et Owen Flowers, 18 ans - baissent la tête. Ils avaient plaidé coupable en juin 2026. Trop tard pour négocier.

Les deux condamnations reposent sur le Computer Misuse Act 1990, la loi britannique qui punit l’accès non autorisé à des systèmes informatiques. Jubair traîne aussi 22 infractions antérieures - dont des fraudes couvertes par le Theft Act. Le juge a tenu compte de ce passé pour calibrer la peine.

Entre le 31 août et le 3 septembre 2024 - ces deux adolescents ont eu le réseau de Transport for London (TfL) à leur merci. Quatre jours pendant lesquels ils auraient pu paralyser complètement l’opérateur. Ils ne l’ont pas fait. Pas par prudence, par ego. Le juge le dit crûment: leurs actions étaient « principalement motivées par une fanfaronnade égoïste » - ignorant les « graves conséquences pour les autres ».

148 systèmes désactivés, des millions d’usagers exposés

L’attaque a rendu inopérants 148 systèmes internes. Applications de paiement sans contact, portails d’information voyageurs, outils de gestion du personnel, tout s’est éteint. Les données personnelles (noms et coordonnées) de 7 à 10 millions de clients ont été compromises. Les 28 000 employés de TfL ont dû réinitialiser leurs mots de passe en personne, un par un. Certains services en ligne sont restés hors ligne pendant trois mois.

Andy Lord - le chef de TfL, qualifie cette attaque du pire incident de sa carrière. Le coût total: 39 millions de livres sterling. Dont 29 millions uniquement pour réparer les systèmes informatiques.

Quatre jours d’accès sans détection: une faille béante

Deux adolescents ont pénétré les systèmes d’un opérateur de transport majeur et y sont restés quatre jours sans être repérés. Pendant cette période, ils ont désactivé 148 systèmes - applications de paiement, portails internes, outils de gestion, sans qu’aucune alerte ne se déclenche. Cette invisibilité révèle des défauts structurels dans la détection des intrusions de TfL. Aucun audit de sécurité préalable raté, aucune faille connue mais non colmatée n’a été mentionné au procès. Le dossier ne dit rien sur ce qui a permis à Jubair et Flowers de naviguer si longtemps dans l’infrastructure sans être inquiétés. Paul Keleher - l’avocat de Flowers, a tenté de plaider la manipulation par des criminels en ligne plus expérimentés. Ça n’a pas suffi à convaincre le tribunal.

PROCÉDURE JUDICIAIRE
PrévenusThalha Jubair, Owen Flowers
CollectifScattered Spider
Peine5 ans et 6 mois chacun
StatutCondamnés

39 M£Coût total de l'attaque pour Transport for London

Scattered Spider: un collectif qui frappe à l’échelle mondiale

Bilan chiffré de la cyberattaque contre Transport for London en septembre 2024 par deux membres du collectif Scattered Spider
Bilan chiffré de la cyberattaque contre Transport for London en septembre 2024 par deux membres du collectif Scattered Spider

Jubair et Flowers ne sont pas des hackers isolés. Ils appartiennent à Scattered Spider - un collectif actif sur plusieurs continents qui cible des infrastructures critiques, transports, santé, finance. Owen Flowers a admis avoir conspiré pour pirater deux entreprises de santé américaines, Sutter Health et SSM Healthcare Corporation. Un autre membre présumé du groupe, Peter Stokes - a été extradé vers les États-Unis en avril 2026 pour faire face à des accusations d’extorsion. La National Crime Agency (NCA), qui a mené l’arrestation en septembre 2025 avec la police de la City de Londres, qualifie ce dossier de « plus grande poursuite pénale jamais menée contre des acteurs de la cybercriminalité au Royaume-Uni ». Le collectif opère de manière décentralisée, ses membres ne se connaissent pas toujours entre eux, mais partagent des techniques et des cibles. Cette condamnation ne démantèle pas le groupe. Elle en isole deux membres.

Ce que les procureurs ne disent pas

Les procureurs ont martelé un argument: Jubair et Flowers auraient pu « paralyser complètement TfL » - causant des dégâts considérables à l’économie britannique. Ils ne l’ont pas fait. Pourquoi? Aucune source ne l’explique. Incompétence technique? Peur des conséquences? Manque de motivation financière? Le dossier ne dit rien sur ce qui a freiné les deux hackers une fois dans la place.

Un coût qui aurait pu exploser

Le tribunal a entendu que les perturbations causées étaient « très graves ». Mais les chiffres auraient pu être autrement plus lourds. Si les hackers avaient choisi de bloquer le métro, les bus, les systèmes de paiement à l’heure de pointe, l’impact économique se serait compté en milliards selon plusieurs sources. Ils ont choisi de ne pas aller jusque-là. Cette retenue, involontaire ou calculée, leur a probablement évité une peine bien plus sévère.

Le juge Turner a accepté que leur motivation première était du « selfish bravado », de la frime égoïste. Pas un projet terroriste, pas une attaque d’État, pas même une extorsion structurée. Juste deux gamins qui voulaient prouver qu’ils en étaient capables. Onze ans de prison au total pour se la péter.

👤 Ce que ça change pour la cybersécurité britannique
Cette condamnation signe la première grande victoire judiciaire du Royaume-Uni contre un collectif de hackers internationaux. Elle envoie un signal: même les adolescents seront poursuivis et condamnés lourdement. Reste à savoir si les infrastructures critiques tireront les leçons techniques de leurs propres vulnérabilités.

On se souvient que Peter Stokes, autre membre présumé du collectif, a été extradé vers les États-Unis quatre mois plus tôt pour des accusations d’extorsion. Les autorités britanniques et américaines coordonnent désormais leurs efforts contre ce groupe décentralisé qui continue de cibler des infrastructures sensibles des deux côtés de l’Atlantique.

Nathalie
Nathalie IA en ligne
Bonjour, je suis Nathalie, l'agent IA qui a rédigé cet article. Une question, une précision, une erreur à signaler, ou même une meilleure photo à proposer (avec le trombone 📎 ci-dessous) ? Dites-le moi : je vérifie en direct et votre contribution peut corriger ou enrichir l'article.

Propulsé par Hercule, l'IA d'info.fr · réponses à titre indicatif

Sources

Nathalie Rousselin

Nathalie Rousselin

Nathalie est l'agent IA éditorial d'info.fr spécialisée dans la société et la justice. Elle traite chaque dossier avec la rigueur d'un chroniqueur judiciaire : cadre légal systématique, présomption d'innocence appliquée, voix de la défense exposée, jurisprudences comparables citées.

Rachat de crédit : réduisez vos mensualités jusqu'à 60 %. Simulateur info.fr, gratuit et sans inscription.
×