Chantage à la sextape : les deux auteurs condamnés par la justice

Il est bien difficile de prendre la mesure de l’arnaque montée par ces deux petits génies de l’informatique. Ce jeudi 2 novembre, Augustin I. et Jordan R., l’un dans un costume bleu tombant parfaitement sur des mocassins vernis, l’autre habillé d’un gilet et d’un jean gris, des baskets Nike aux pieds, étaient jugés pour avoir arnaqué des milliers de personnes entre janvier et juin 2019.

Basés en Europe de l’Est, ils envoyaient des mails – manuellement puis grâce à des “bots” informatiques – indiquant aux internautes avoir pris le contrôle de leurs ordinateurs et caméras grâce à un logiciel malveillant, et disposer d’images d’eux regardant des vidéos pornographiques. Les victimes avaient ensuite le choix entre payer une rançon de 500 à 700 euros en cryptomonnaie, ou voir la vidéo diffusée à tout leur répertoire. Si l’accusation n’a pas réussi à établir le montant précis de leurs gains lors du procès, il avoisine probablement le million et demi d’euros.

Course poursuite et mises en examen

À la suite de près de 22 000 signalements et 1300 plaintes, une information judiciaire avait été ouverte par la section cybercriminalité du parquet de Paris, et un mandat d’arrêt lancé contre les deux intéressés. Alors qu’Augustin I., identifié comme le cerveau de l’affaire, est en cavale en Ukraine et qu’il nargue les enquêteurs sur son compte Twitter, Jordan R. est arrêté en rentrant sur le sol français, à l’aéroport de Roissy-Charles-de-Gaulle. Le 12 septembre 2019, il est mis en examen et placé sous contrôle judiciaire. Deux mois plus tard, son ami finit par se rendre au commissariat du XVème arrondissement de Paris, où il dit vouloir “collaborer avec les autorités françaises”. Il est mis en examen le 6 décembre et placé, lui, en détention provisoire.

En septembre dernier, leur procès s’était ouvert au tribunal correctionnel de Paris, pour « accès et maintien frauduleux dans un système de traitement automatisé de données », « extorsion et tentative d’extorsion » et « blanchiment en bande organisée ». Des infractions respectivement passibles de trois ans d’emprisonnement et 100 000 euros d’amende (article 323-1 du code pénal), sept ans d’emprisonnement et 1000 000 euros d’amende (article 312-1) et dix ans d’emprisonnement et 750 000 euros d’amende (article 324-2). L’affaire avait été mise en délibéré. 

“Particulièrement doués en informatique”

Alors que le parquet avait requis une peine différente pour les deux prévenus, plus lourde pour Augustin I., créateur du virus, le tribunal a conclu qu’ils avaient joué un rôle “similaire” et méritaient donc la même peine :  trois ans d’emprisonnement, dont deux avec sursis. À la demande de la défense, les faits d’extorsion ont été requalifiés en « chantage », une infraction moins lourde (article 312-10 du code pénal), et le « blanchiment » retenu sans la « bande organisée », un facteur aggravant qui nécessite qu’il y ait eu un groupe structuré et pérenne. 

Jordan R. effectuera sa peine d’emprisonnement ferme à résidence, avec un bracelet électronique. Augustin I., qui a déjà passé dix mois en détention provisoire, en est lui dispensé. Tous les deux devront également verser une compensation financière à une grosse moitié des près de 90 parties civiles. “Je suis désolée, ça va être un peu long”, a prévenu la présidente du tribunal, avant d’énumérer les noms, préjudices moraux, d’images et financiers, et indemnisations correspondantes. Ces dernières sont comprises entre un euro symbolique et 3 000 euros selon les cas. Quant aux gains amassés, le tribunal a décidé d’une amende de 20 000 euros, toutefois assortie, elle aussi, de sursis. 

Enfin, les juges ont décidé de ne pas prononcer d’interdiction d’exercer : “Vous êtes particulièrement doués en informatique”, a justifié la présidente aux deux garçons, côte à côte à la barre. Pas sûr néanmoins qu’ils travaillent à nouveau ensemble : lorsqu’ils quittent le tribunal, c’est sans un mot ni regard l’un pour l’autre.

L’Union européenne espère faire barrage

Pour s’introduire dans les serveurs et monter leur arnaque, les deux hackers disent avoir exploité une faille du fournisseur de messagerie Orange. Les internautes ne sont donc pas à l’abri que des brèches similaires soient trouvées par d’autres hackers. Face à ce phénomène extrêmement diffus, et alors que 41 milliards d’appareils dans le monde devraient être connectés à internet d’ici 2025, les États membres, de concert avec l’Union européenne, tentent de sécuriser l’espace numérique depuis plusieurs années. 

Dès 2004, l’agence de l’Union européenne pour la cybersécurité (ENISA) est créée, suivie, en 2013, par le Centre européen de lutte contre la criminalité, qui s’installe dans les locaux d’Europol – l’agence européenne de police criminelle. Trois ans plus tard, la première mesure législative est prise, avec une directive sur la sécurité des réseaux et des systèmes d’information (SRI), qui définit des “opérateurs de services essentiels”, fixe des obligations de préventions et de gestion des risques cyber pour les États, et crée un mécanisme de coopération entre États membres, afin de garantir une application uniforme. En 2023, une seconde directive est venue la mettre à jour, et prévoir des sanctions pour assurer le respect de la législation. Elle pérennise également le réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe), créé en 2020. Celui-ci rassemble les agences chargées de la gestion de crises cyber des 27 États-membres, et permet une mise en commun des stratégies de réponse. Si les États semblent avoir saisi l’ampleur du phénomène, face à l’intelligence artificielle, bien malin est celui qui peut dire qui gagnera la partie …

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.