📰 Source : BBC News | Date de publication : 15 juillet 2026 | Juridiction : Woolwich Crown Court, Royaume-Uni
Le tribunal de Woolwich Crown Court a condamné Owen Flowers (18 ans, Walsall) et Thalha Jubair (20 ans, est de Londres) à 5 ans et 6 mois de prison chacun pour leur rôle dans la cyberattaque contre Transport for London (TfL) commise le 31 août 2024. Les deux individus avaient plaidé coupable en juin 2026.
🎯 Méthode d’attaque
- Vishing / social engineering : les attaquants ont contacté un helpdesk téléphonique et convaincu un agent de réinitialiser le mot de passe d’un employé qu’ils usurpaient.
- Accès obtenu à la base de données des clients Oyster card de TfL.
- L’attaque a débuté un samedi soir à 17h00 pour minimiser les chances de détection.
- L’attaque a été diffusée en direct en ligne pendant 16 heures.
💥 Impact
- Données personnelles de 10 millions de clients TfL volées (base encore partagée dans des groupes criminels).
- 27 000 employés TfL contraints de réinitialiser leurs mots de passe en personne.
- 148 systèmes technologiques rendus inopérants.
- Perturbation du service Dial-a-ride (transport pour personnes handicapées).
- Impact financier total estimé à £39 millions (£29m de coûts directs + £10m de pertes de revenus).
- TfL a dû déconnecter ses systèmes d’internet pour stopper l’intrusion.
👤 Profils des acteurs
- Flowers et Jubair sont affiliés au collectif Scattered Spider, groupe de jeunes hackers anglophones.
- Jubair est également lié au groupe Lapsus$ (condamné en 2023 pour des attaques contre Nvidia et BT) et à The Com.
- Jubair possède 22 condamnations antérieures liées au hacking, à la fraude et au harcèlement, et est recherché aux États-Unis pour des cybercrimes contre 47 victimes américaines ayant généré 115 millions de dollars de rançons.
- Flowers avait reçu un cease and desist en octobre 2023 pour cybercriminalité mineure ; lors de son arrestation en septembre 2024, il était en train de pirater deux prestataires de santé américains.
- Des cryptomonnaies d’une valeur d’environ £1 million ont été saisies chez Flowers.
- Les deux individus ont été retrouvés avec des téléphones de contrebande en prison, continuant à planifier des attaques.
🏛️ Contexte judiciaire et institutionnel
- La NCA (National Crime Agency) a alerté TfL de la brèche.
- Le juge a cité l’âge et les diagnostics d’autisme comme circonstances atténuantes.
- La NCA qualifie la montée des jeunes hackers britanniques comme l’une des plus grandes menaces à la cybersécurité nationale.
- Scattered Spider est décrit comme « fortement dégradé » par la NCA suite aux arrestations.
📌 Type d’article : Compte-rendu judiciaire et rapport d’incident post-condamnation, visant à documenter les faits, l’impact et le profil des auteurs d’une cyberattaque majeure contre une infrastructure de transport publique.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Scattered Spider (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
- Lapsus$ (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
TTP
- T1598.004 — Phishing for Information: Spearphishing Voice (Reconnaissance)
- T1656 — Impersonation (Defense Evasion)
- T1078 — Valid Accounts (Initial Access)
- T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
- T1531 — Account Access Removal (Impact)
- T1657 — Financial Theft (Impact)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
🟡 Indice de vérification factuelle : 45/100 (moyenne)
- ⬜ bbc.com — source non référencée (0pts)
- ✅ 8866 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Scattered Spider, Lapsus$ (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bbc.com/news/articles/c4gyg0y6yg2o