Un procès qui a duré sept semaines à Londres a révélé que le gang international de cybercriminels a utilisé des astuces d'escroc ainsi que le piratage informatique pour accéder à des entreprises telles qu'Uber et Rockstar Games.
Parmi eux, un jeune homme de 18 ans qui a divulgué des extraits du jeu inédit Grand Theft Auto 6 alors qu'il était en liberté sous caution dans un hôtel britannique.
A lire aussi sur BBC Afrique:
3 conseils pour détecter les faux avis sur internet
Comment l'IA va transformer la journée de travail
Métavers : est-ce le futur lieu de travail ?
Arion Kurtaj était un membre clé du groupe de cybercriminels Lapsus$, dont les attaques audacieuses en 2021 et 2022 ont choqué le monde de la cybersécurité.
Kurtaj est autiste et les psychiatres ont estimé qu'il n'était pas apte à être jugé et il ne s'est donc pas présenté au tribunal pour témoigner.
Le jury devait déterminer s'il avait ou non commis les actes reprochés, et non s'il l'avait fait avec une intention criminelle.
Un autre jeune homme de 17 ans, également autiste, a été condamné pour sa participation aux activités du gang Lapsus$, mais son nom ne peut être cité en raison de son âge.
Les deux Britanniques ont travaillé avec d'autres, prétendument au Brésil, et ont été décrits au tribunal comme des "bandits numériques".
Pendant leur série de piratages, les pirates célébraient régulièrement leurs crimes en public et narguaient leurs victimes sur le réseau social Telegram, en anglais et en portugais.
Première vague de piratage
Les jurés ont appris que l'adolescent anonyme avait commencé à pirater avec Kurtaj en juillet 2021, après s'être rencontré en ligne.
Kurtaj, aidé par des associés de Lapsus$, a piraté les serveurs et les fichiers de données de la société de télécommunications BT et de EE, l'opérateur mobile, avant d'exiger une rançon de 4 millions de dollars le 1er août 2021.
Comment savoir si votre téléphone portable a été piraté et ce que vous pouvez faire pour l'éviter
Lazarus group : 14 millions de dollars piratés dans des distributeurs automatiques de billets du monde entier
Aucune rançon n'a été payée, mais le tribunal a appris que le jeune homme de 17 ans et Kurtaj ont utilisé les données SIM volées de cinq victimes pour dérober un total de près de 127 000 dollars de leurs comptes en crypto-monnaies, qui étaient sécurisés par leurs identités SIM de téléphone portable compromises.
Les deux accusés ont été initialement arrêtés le 22 janvier, puis libérés dans le cadre de l'enquête.
Deuxième piratage
Cela n'a pas découragé le duo qui a continué à pirater avec Lapsus$ et a réussi à pénétrer dans Nvidia, un géant technologique de la Silicon Valley qui fabrique des puces pour les chatbots d'intelligence artificielle, en février 2022.
Ils ont volé et divulgué des données sensibles et précieuses et ont exigé le paiement d'une rançon pour les empêcher d'en divulguer d'autres.
Le jury a pris connaissance de conversations sur Telegram au cours desquelles le gang demandait à une personne qu'il avait engagée d'appeler le service d'assistance de Nvidia en se faisant passer pour un employé afin d'obtenir les données d'accès à l'entreprise.
Lors d'autres piratages, le gang a envoyé des demandes d'autorisation d'accès aux téléphones des employés tard dans la nuit, jusqu'à ce que les employés acceptent.
Kurtaj et le jeune ont tous deux été arrêtés à nouveau le 31 mars 2022.
Peu avant son arrestation, Kurtaj a été "démasqué" par des pirates informatiques rivaux qui ont mis en ligne ses coordonnées et celles de sa famille, ainsi que des photos et des vidéos de ce pêcheur passionné tirées des médias sociaux.
Pour sa sécurité, Kurtaj a été hébergé dans un hôtel d'une petite ville du Royaume-Uni et a été soumis à des conditions strictes de libération sous caution, notamment l'interdiction d'aller sur Internet.
Mais Kurtaj a continué à pirater.
Troisième offensive
Les procureurs affirment qu'il a été "pris la main dans le sac" lorsque la police de la ville de Londres a fouillé sa chambre d'hôtel.
Dans un "mépris flagrant des conditions de sa libération sous caution", les jurés ont appris que la police avait trouvé dans la télévision de son hôtel un Amazon Fire Stick lui permettant de se connecter à des services d'informatique en cloud à l'aide d'un téléphone intelligent, d'un clavier et d'une souris qu'il venait d'acheter.
Le tribunal a appris qu'il avait contribué à attaquer Revolut, Uber et Rockstar Games.
Son dernier piratage contre le fabricant de jeux a été décrit comme son "plus audacieux", car Kurtaj a posté un message sur le service de messagerie Slack de l'entreprise à l'intention de tous les employés, déclarant : "Je ne suis pas un employé de Rockstar, je suis un hacker".
Il a déclaré avoir téléchargé toutes les données de Grand Theft Auto 6, la série de jeux vidéo très populaire de Rockstar, ajoutant : "si Rockstar ne me contacte pas sur Telegram dans les 24 heures, je commencerai à publier le code source".
Entre-temps, 90 clips vidéo d'un gameplay inachevé du nouveau jeu très attendu ont également été publiés sur un forum de fans sous le nom d'utilisateur TeaPotUberHacker.
Kurtaj a été de nouveau arrêté et placé en détention jusqu'à son procès.
Voici trois façons dont vous risquez le plus de vous faire pirater
Les 3 cyber-attaques russes les plus redoutées par l'Occident
Exhibition juvénile
L'avocat principal de l'accusation, Kevin Barry, a déclaré que Kurtaj et ses co-conspirateurs avaient à plusieurs reprises fait preuve d'un "désir juvénile de faire un doigt d'honneur à ceux qu'ils attaquent".
Une fois entrés dans le réseau informatique d'une entreprise, les pirates laissaient souvent des messages offensants sur Slack et Microsoft Teams pour tenter de faire chanter le personnel.
Les actions du gang étaient souvent erratiques, les motivations oscillant apparemment entre la notoriété, le gain financier et l'amusement.
Leur série de piratages a incité les cyberautorités américaines à procéder à un examen approfondi au début du mois, en soulignant que les cyberdéfenses devaient être améliorées pour contrer la menace croissante des pirates adolescents.
Le rapport indique que Lapsus$ "a montré clairement à quel point il était facile pour ses membres (des jeunes, dans certains cas) d'infiltrer des organisations bien sécurisées".
On pense que les membres du gang sont toujours en liberté.
En octobre 2022, la police brésilienne a arrêté un individu soupçonné d'avoir piraté plusieurs entreprises et organismes publics brésiliens et portugais à l'aide de Lapsus$.
On ne sait pas exactement combien d'argent Lapsus$ a gagné grâce à ses cybercrimes. Aucune entreprise n'a admis publiquement avoir payé les pirates et le jeune homme de 17 ans a refusé de donner à la police l'accès à son portefeuille de crypto-monnaies.