Deux membres du groupe cybercriminel Scattered Spider ont plaidé coupables pour le piratage des systèmes de Transport for London (TfL) en 2024.
Les deux individus, Thalha Jubair (20 ans) et Owen Flowers (18 ans), ont pénétré les systèmes du service de transports londonien entre le 31 août et le 3 septembre 2024. Ils ont provoqué des pertes financières qui se chiffrent en millions de livres.
Jubair et Flowers avaient initialement nié leur implication dans l’incident. Mais ils ont changé leur plaidoyer pour coupable dès le premier jour des procédures au tribunal de Woolwich Crown Court.
Transport for London est l’organisme public qui gère la majeure partie des réseaux de transport de la capitale britannique. Il dessert une zone métropolitaine de plusieurs millions d’habitants et assure des milliers de trajets chaque jour.
Le 2 septembre 2024, l’infrastructure de la TfL a été touchée par un incident de cybersécurité. Des perturbations opérationnelles se sont poursuivies pendant plusieurs jours.
Les attaquants ont accédé aux données du système de remboursement Oyster de la TfL. Ils ont perturbé les services de remboursement client, ce qui a entraîné des retards pour certains usagers.
Le 12 septembre, la TfL a reconnu que des données clients avaient été volées lors de l’attaque. Le même jour, le National Crime Agency (NCA) britannique a annoncé l’arrestation de Flowers, qui était alors un suspect.
Jubair et Flowers ont été arrêtés le 18 septembre 2025, après que les enquêteurs ont récupéré des preuves accablantes contre eux. Ces preuves allaient au-delà de la seule cyberattaque contre la TfL. Flowers a violé deux fois les conditions de sa mise en liberté provisoire, en mars et en mai 2025.
D’après le National Crime Agency, la cyberattaque contre la TfL a forcé ses 28 000 employés à se rendre dans leurs bureaux locaux pour réinitialiser leurs mots de passe. Elle a aussi causé 29 millions de livres (38,3 millions de dollars) de dommages financiers à l’organisme de transport public.
« L’attaque a généré des pertes de millions de livres pour une partie essentielle des infrastructures nationales critiques du Royaume-Uni. Elle a aussi été une gêne importante pour les clients », a déclaré Paul Foster, directeur adjoint du NCA.
Le résultat d’aujourd’hui n’aurait pas été possible si la TfL n’avait pas contacté rapidement les forces de l’ordre. J’exhorte donc toute autre organisation à agir de même dans de telles circonstances. »
Les enquêteurs ont saisi plusieurs appareils au domicile de Flowers. Parmi eux, un ordinateur portable contenait une capture d’écran qui montrait une connexion à l’infrastructure de la TfL. Ils y ont aussi trouvé des preuves d’accès à une place de marché vendant des identifiants volés, ainsi que des vidéos où l’on voit Jubair pénétrer les systèmes de la TfL.
Les pirates ont communiqué via Telegram et une plateforme de collaboration en ligne partagée pendant l’intrusion, a précisé le NCA.
Outre la TfL, les autorités ont également établi un lien entre Flowers et des intrusions chez SSM Health Care Corporation et Sutter Health. Ces deux organismes américains opèrent dans le secteur de la santé.
Les deux membres de Scattered Spider devaient initialement être jugés le 22 juin. Le prononcé de la sentence a été reporté au 16 juillet parce qu’ils ont changé leur plaidoyer pour coupable.