Sébastien Raoult, hackeur français de 22 ans, est désormais fixé sur son sort. Entre cybercriminalité et affaire d’extradition, son histoire avait fait pas mal parler en août 2022. Accusé d’avoir fait partie d’un groupe de pirates informatiques qui a siphonné les données d’une soixantaine d’entreprises, le jeune homme écope finalement de trois ans de prison aux Etats-Unis, a tranché un magistrat de Seattle. Le Français devra également rembourser 5 millions de dollars (4,6 millions d’euros) pour les pertes causées aux firmes victimes, selon un communiqué du parquet.

Sébastien Raoult risquait jusqu’à 116 ans de prison aux Etats-Unis, et avait déjà passé plusieurs mois derrière les barreaux au Maroc – il avait été arrêté là-bas alors qu’il était en vacances – dans des conditions déplorables. Le parquet américain, qui dénonce dans son communiqué un jeune homme «dont le mobile était la pure cupidité», réclamait, lui, six ans d’emprisonnement. Entre ses mois de détention déjà effectués au Maroc et aux Etats-Unis, et une possible remise de peine, Sébastien Raoult pourrait être libéré et de retour en France «pour les fêtes de fin d’année 2024», a calculé ce dernier.

L’ancien étudiant en informatique avait d’abord plaidé non coupable, avant de nouer un accord avec l’accusation en novembre. Le hackeur a reconnu être coupable d’association de malfaiteurs pour commettre une escroquerie informatique et d’usurpation d’identité aggravée. En échange, les procureurs ont abandonné sept autres chefs d’accusation à son encontre.

«On est quand même assez soulagés parce qu’on va pouvoir enfin passer à autre chose», a réagi après la condamnation le père de Sébastien, Paul Raoult. L’homme a également manifesté une fois de plus son «amertume vis-à-vis du gouvernement français qui a laissé tomber un de ses ressortissants en difficulté à l’étranger». «Je comprends mes erreurs et je veux mettre cette histoire derrière moi, a pour sa part déclaré Sébastien Raoult lors du prononcé de sa peine. Plus de piratage. Je ne veux pas décevoir à nouveau ma famille.»

Lors de son procès, le jeune hackeur originaire d’Epinal a admis avoir fait partie des «ShinyHunters», un groupe de pirates informatiques tirant son nom de la saga Pokémon et dans lequel Sébastien Raoult opérait sous le pseudonyme «Sezyo Kaizen». L’organisation comptait par ailleurs deux autres pirates français dans ses rangs, Abdel-Hakim El-Ahmadi et Gabriel Bildstein, ce dernier étant bien connu de la justice française.

Restés en France au moment de l’interpellation de leur partenaire en 2022, ils ont tous deux pu rester dans l’Hexagone, Paris n’extradant pas ses ressortissants. Sébastien Raoult avait quant à lui été interpellé à l’aéroport de Rabat au nom d’une fiche rouge émise par Interpol sur demande des Américains en 2022, avant d’être extradé huit mois plus tard vers les Etats-Unis.

L’affaire avait alors éclaté, les parents du jeune homme dénonçant publiquement l’inaction de la France. La famille et sa défense française avaient tenté de le faire extrader pour qu’il soit jugé dans l’Hexagone, allant jusqu’à saisir le Comité des droits de l’homme de l’ONU. «Mon fils a été vendu aux Américains», allait même jusqu’à déclarer Paul Raoult.

A partir de 2020, les ShinyHunters ont dérobé les données confidentielles d’une soixantaine d’entreprises afin de les revendre sur le Dark Web – la zone clandestine d’Internet. Ces attaques avaient causé des pertes estimées à plus de 6 millions de dollars pour les sociétés victimes. Le groupe employait un mode opératoire bien connu dans le milieu : le fishing, ou «hameçonnage».

Le processus est assez simple : un site ressemblant aux pages d’authentifications d’entreprises réelles, des mails imitant ceux de l’employeur pour inviter les employés à s’y connecter, et des salariés victimes qui voyaient leurs identifiants partagés aux voleurs. Avec ces informations, les pirates pouvaient ensuite accéder aux systèmes informatiques des firmes et à leurs bases de données, qu’ils mettaient alors en vente sur des forums cybercriminels du Dark Web.

Le rôle de Sébastien Raoult dans tout ça ? Le développement d’une «partie substantielle du code et des sites web d’hameçonnage que lui et ses coconspirateurs ont utilisés» pour les escroqueries, selon l’accusation. Les fans d’informatiques et de Pokémon ont également fait chanter une vingtaine de victimes, en exigeant une rançon en cryptomonnaies pour ne pas mettre en vente les données dérobées. L’une d’elles atteignant les 425 000 dollars, selon des documents judiciaires.

D’après différents experts, les hackeurs s’étaient notamment attaqués au compte de Microsoft sur la plateforme de partage de code informatique GitHub, à la marque de vêtements américaine Bonobo, ou encore à l’opérateur téléphonique américain AT & T. Sur le fond de l’affaire, «on n’aura jamais le fin mot, car il n’y a pas eu de confrontation» avec les autres pirates informatiques, a estimé Sébastien Raoult.