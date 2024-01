Il risquait à l’origine jusqu’à 116 ans de détention. Sébastien Raoult, un Français de 23 ans accusé par les Etats-Unis de cybercriminalité, sera fixé sur son sort ce mardi. Cet ancien étudiant en informatique originaire d’Epinal, dans les Vosges, comparaît à Seattle à 11 heures, heure locale, soit 20 heures en France. Mais l’audience ne devrait pas réserver de surprise puisque le jeune homme, après avoir nié pendant plusieurs mois les faits qui lui étaient reprochés, a finalement plaidé coupable et passé un accord avec le procureur.

L’affaire démarre au Maroc en mai 2022, lorsque Sébastien Raoult est interpellé à la demande du FBI à l’aéroport de Rabat, où il s’est installé quelques mois auparavant. Voilà déjà plusieurs mois que les enquêteurs américains traquent un groupe de hackers particulièrement actif, notamment aux Etats-Unis. Leur nom prête à sourire – les ShinyHunters, une référence à Pokémon –, leurs pratiques beaucoup moins : ces derniers se sont spécialisés dans le vol de datas, lesquelles sont ensuite revendues sur le darkweb ou monnayées contre des « rançons », parfois à plusieurs centaines de milliers de dollars. Selon un communiqué du procureur datant de fin septembre, le montant du préjudice est estimé à plus de 6 millions de dollars (environ 5,5 millions d’euros) et les victimes se comptent en milliers.

« Des techniques trompeuses pour piéger les gens »

Leur mode opératoire était simple mais particulièrement efficace : l’hameçonnage. Pour voler les identifiants de leurs victimes et ainsi voler les données, un faux e-mail semblable en tout point à un vrai, notamment de sites d’e-commerce, était envoyé. Lorsque l’utilisateur se connectait, le piège se refermait. « Les gens pensent souvent que leurs actions derrière un écran n’ont pas de conséquences pour eux, insiste le magistrat américain. Raoult et ses amis utilisent des techniques trompeuses pour piéger les gens et ainsi obtenir leurs mots de passe et violer les données confidentielles de nombreuses entreprises. »

La police fédérale américaine a identifié le jeune français en passant par son adresse IP et en s’appuyant sur des conversations sur le réseau social Discord. Deux autres Français ont également été identifiés par la justice américaine, mais ces derniers étant restés dans l’Hexagone, ils n’ont pas été interpellés. Sébastien Raoult, lui, a été extradé vers Seattle en janvier 2023 après sept mois de détention au Maroc. Pendant plus d’un an, le jeune informaticien a fermement nié les faits avant de faire volte-face en septembre 2023 et de nouer un accord avec l’accusation, comme cela peut se faire aux Etats-Unis.

Sept ans requis par le procureur

Sébastien Raoult, inconnu de la justice française, a reconnu sa culpabilité pour deux infractions : la fraude électronique (il a notamment avoué avoir créé une partie des pages utilisées pour l’hameçonnage) et le vol aggravé d’identité. Selon le communiqué du procureur, ces délits sont passibles d’une peine maximale de vingt-sept ans pour le premier et minimale de deux ans pour le second. Cinq autres chefs d’inculpation ont été abandonnés. Le procureur a finalement requis sept ans à son encontre.

Si le père du jeune homme, arrivé lundi soir à Seattle avec une partie de sa famille, confie ne pas connaître les activités de son fils, il émet l’hypothèse d’aveu de « raison » dans l’objectif de réduire la peine encourue. « Je pense que c’est du pragmatisme, de la stratégie, car il risquait 116 ans de prison. La justice américaine permet des négociations avec l’accusation, on est ainsi redescendu à vingt-sept ans de réclusion au maximum, et le procureur demande sept ans de prison », confiait-il récemment à France 3. Reste la question du montant des indemnités. Il pourrait être fixé à plusieurs centaines de milliers de dollars, afin d’indemniser les victimes.