📰 Source : BBC News | Date de publication : 15 juillet 2026 | Juridiction : Woolwich Crown Court, Royaume-Uni

Le tribunal de Woolwich Crown Court a condamné Owen Flowers (18 ans, Walsall) et Thalha Jubair (20 ans, est de Londres) à 5 ans et 6 mois de prison chacun pour leur rôle dans la cyberattaque contre Transport for London (TfL) commise le 31 août 2024. Les deux individus avaient plaidé coupable en juin 2026.

🎯 Méthode d’attaque

  • Vishing / social engineering : les attaquants ont contacté un helpdesk téléphonique et convaincu un agent de réinitialiser le mot de passe d’un employé qu’ils usurpaient.
  • Accès obtenu à la base de données des clients Oyster card de TfL.
  • L’attaque a débuté un samedi soir à 17h00 pour minimiser les chances de détection.
  • L’attaque a été diffusée en direct en ligne pendant 16 heures.

💥 Impact

  • Données personnelles de 10 millions de clients TfL volées (base encore partagée dans des groupes criminels).
  • 27 000 employés TfL contraints de réinitialiser leurs mots de passe en personne.
  • 148 systèmes technologiques rendus inopérants.
  • Perturbation du service Dial-a-ride (transport pour personnes handicapées).
  • Impact financier total estimé à £39 millions (£29m de coûts directs + £10m de pertes de revenus).
  • TfL a dû déconnecter ses systèmes d’internet pour stopper l’intrusion.

👤 Profils des acteurs

  • Flowers et Jubair sont affiliés au collectif Scattered Spider, groupe de jeunes hackers anglophones.
  • Jubair est également lié au groupe Lapsus$ (condamné en 2023 pour des attaques contre Nvidia et BT) et à The Com.
  • Jubair possède 22 condamnations antérieures liées au hacking, à la fraude et au harcèlement, et est recherché aux États-Unis pour des cybercrimes contre 47 victimes américaines ayant généré 115 millions de dollars de rançons.
  • Flowers avait reçu un cease and desist en octobre 2023 pour cybercriminalité mineure ; lors de son arrestation en septembre 2024, il était en train de pirater deux prestataires de santé américains.
  • Des cryptomonnaies d’une valeur d’environ £1 million ont été saisies chez Flowers.
  • Les deux individus ont été retrouvés avec des téléphones de contrebande en prison, continuant à planifier des attaques.

🏛️ Contexte judiciaire et institutionnel

  • La NCA (National Crime Agency) a alerté TfL de la brèche.
  • Le juge a cité l’âge et les diagnostics d’autisme comme circonstances atténuantes.
  • La NCA qualifie la montée des jeunes hackers britanniques comme l’une des plus grandes menaces à la cybersécurité nationale.
  • Scattered Spider est décrit comme « fortement dégradé » par la NCA suite aux arrestations.

📌 Type d’article : Compte-rendu judiciaire et rapport d’incident post-condamnation, visant à documenter les faits, l’impact et le profil des auteurs d’une cyberattaque majeure contre une infrastructure de transport publique.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1598.004 — Phishing for Information: Spearphishing Voice (Reconnaissance)
  • T1656 — Impersonation (Defense Evasion)
  • T1078 — Valid Accounts (Initial Access)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1531 — Account Access Removal (Impact)
  • T1657 — Financial Theft (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ bbc.com — source non référencée (0pts)
  • ✅ 8866 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Scattered Spider, Lapsus$ (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bbc.com/news/articles/c4gyg0y6yg2o