Thalha Jubair, 20 ans, et Owen Flowers, 18 ans, ont été condamnés le 16 juillet par la Woolwich Crown Court pour l’intrusion menée en septembre 2024 dans le système d’information de Transport for London. L’opérateur londonien avait dû immobiliser 148 systèmes et réinitialiser les accès de 27 000 salariés, pour un coût final de 29 millions de livres.
Une intrusion qui a paralysé une partie du système d’information de TfL
Entre le 31 août et le 3 septembre 2024, les deux hommes se sont introduits dans le réseau de Transport for London. L’attaque a rendu inopérants 148 systèmes de l’opérateur, dont certains critiques, contraignant les équipes à recourir à des solutions de contournement manuelles pendant plusieurs semaines. L’ensemble des 27 000 collaborateurs de TfL a dû se rendre physiquement dans les locaux de l’entreprise pour procéder à une réinitialisation de leurs identifiants.
Plusieurs services grand public ont été affectés, notamment le dispositif de réservation Dial-a-Ride destiné aux usagers vulnérables, la délivrance des cartes de transport à tarif réduit, ainsi que le système de remboursement lié aux cartes Oyster, qui a laissé des usagers sans compensation financière pendant une durée anormalement longue. Le déploiement du paiement sans contact a également été retardé, tout comme le traitement des demandes de photocartes pour les jeunes usagers.
D’après un communiqué de la National Crime Agency (NCA), qui a mené l’enquête aux côtés de la City of London Police, l’addition s’élève à 29 millions de livres en pertes et frais de remédiation pour TfL. Les investigateurs estiment que si l’attaque était parvenue à interrompre totalement le réseau de transport, le coût pour l’économie britannique aurait pu atteindre 56 milliards de livres. Selon le compte-rendu du Crown Prosecution Service (CPS), des échanges entre les deux prévenus évoquaient l’intention de « nuke access », un scénario qui aurait pu provoquer des dommages économiques se chiffrant en milliards de livres.
Une première condamnation au titre de la section la plus sévère du Computer Misuse Act
Jubair et Flowers ont plaidé coupable le 22 juin, jour prévu pour l’ouverture de leur procès, pour un délit relevant de la section 3ZA du Computer Misuse Act de 1990. Cette disposition, la plus sévère du texte britannique, s’applique lorsque l’acte non autorisé cause ou crée un risque significatif de dommage grave, l’auteur ayant agi intentionnellement ou avec insouciance quant à ce risque. Il s’agit de la première condamnation obtenue sur ce fondement.
L’enquête a par ailleurs établi qu’Owen Flowers avait, le 6 septembre 2024, mené des cyberattaques contre deux prestataires de santé américains à but non lucratif, SSM Health et Sutter Health. Il aurait évoqué dans des échanges la possibilité que le blocage des systèmes visés « puisse tuer un patient de 90 ans sous assistance respiratoire », avant d’être interpellé et empêché de mener à bien cette action. Les enquêteurs ont pu relier Flowers à un serveur distant utilisé pour lancer les trois attaques, tandis que les éléments impliquant Jubair dans l’intrusion chez TfL ont été obtenus grâce à une coopération avec des partenaires judiciaires étrangers.
Une organisation présentée comme durablement affaiblie
Jubair et Flowers, arrêtés à leur domicile le 16 septembre 2025, sont décrits par les autorités britanniques comme des membres dirigeants du collectif Scattered Spider. Le Deputy Director de la National Cyber Crime Unit de la NCA, Paul Foster, a qualifié l’affaire de plus importante poursuite jamais engagée devant les juridictions britanniques en matière de cybercriminalité, résultat de près de deux années d’enquête menées avec le CPS et les partenaires policiers.
La NCA indique que, si la marque Scattered Spider pourrait continuer d’être utilisée par d’autres cybercriminels, l’action engagée contre Jubair et Flowers a mis un terme à l’activité opérationnelle du groupe, une évaluation indépendante de Microsoft confirmant selon l’agence que les arrestations ont significativement dégradé sa capacité opérationnelle.
Du côté de la City of London Police, le commandant Ollie Shaw a profité de l’annonce pour plaider en faveur des Cyber Crime Risk Orders, un dispositif encore à l’état de proposition qui permettrait aux tribunaux d’imposer des restrictions proportionnées à l’usage des appareils, services en ligne et technologies par des individus jugés à risque. Andy Lord, Commissioner du réseau de transport londonien, a pour sa part salué l’issue judiciaire tout en rappelant l’attention portée par l’organisation à la sécurité de ses systèmes et des données de ses usagers. Le FBI, par la voix de son Assistant Director Brett Leatherman, a également salué le travail de la NCA, soulignant le recours récurrent de Scattered Spider à l’extorsion de données, aux attaques par SIM swapping et à l’ingénierie sociale pour s’introduire dans des réseaux et compromettre des services critiques.






