Il avait 16 ans lors de sa première intrusion. À 19, il vient d’être extradé de Finlande vers une cellule américaine. Peter Stokes, alias « Bouquet », appartiendrait à Scattered Spider, cette bande de jeunes pirates qui a mis à genoux des casinos de Las Vegas et des chaînes de magasins sans jamais forcer une seule serrure informatique.
Un coup de fil vaut mieux qu’un virus
Toute la force du groupe tient dans une idée simple : pourquoi crocheter une serrure quand on peut convaincre quelqu’un d’ouvrir la porte ? Le FBI et l’agence américaine de cybersécurité, la CISA, ont décrit leur mode opératoire dans plusieurs alertes. Les membres appellent le service informatique d’une entreprise en se faisant passer pour un salarié, récupèrent un identifiant glané sur les réseaux professionnels, puis réclament la réinitialisation d’un mot de passe.
Le reste de la panoplie est du même acabit. Ils bombardent un employé de notifications de sécurité jusqu’à ce qu’il en valide une par lassitude, une technique qui contourne la double authentification. Ils détournent aussi des numéros de téléphone pour intercepter les codes reçus par message. À aucun moment ils ne cassent un pare-feu ou n’exploitent une faille exotique. Le maillon faible n’est pas la machine, c’est la personne au bout du fil, celle qui veut bien rendre service à un collègue pressé.
De Las Vegas aux rayons de Marks & Spencer
Le palmarès de la bande donne le vertige. En septembre 2023, un simple appel au support de MGM Resorts, en usurpant l’identité d’un employé repéré sur LinkedIn, a suffi à paralyser plusieurs jours les casinos du géant : machines à sous éteintes, cartes de chambre mortes, pertes estimées autour de 100 millions de dollars. Selon les analyses publiées après l’attaque, il n’aura fallu que quelques minutes de conversation pour ouvrir la première brèche. Son concurrent Caesars aurait, lui, préféré verser une rançon de plusieurs millions pour éviter le même sort.
En 2025, le groupe s’attaque au commerce européen. Marks & Spencer et Co-op, deux enseignes britanniques, voient leurs commandes en ligne bloquées et leurs rayons se vider pendant des semaines. La liste des victimes s’allonge ensuite avec des banques, des assureurs, des compagnies aériennes, jusqu’au constructeur Jaguar Land Rover. Au total, selon le ministère américain de la Justice, la nébuleuse est reliée à plus de 100 intrusions, plus de 100 millions de dollars de rançons encaissées et des dégâts qui se chiffrent en millions supplémentaires.
Des ados derrière les claviers
Ce qui déroute les enquêteurs, c’est le profil des coupables. Ni officine étatique ni génies reclus : surtout des adolescents et de très jeunes adultes vivant aux États-Unis et au Royaume-Uni, anglophones de naissance, qui se coordonnent sur des messageries au sein d’une galaxie en ligne surnommée « The Com ». Leur âge et leur accent sont une arme. Au téléphone, ils sonnent comme un collègue ordinaire, sans intonation étrangère qui mettrait la puce à l’oreille d’un standardiste.
Cette bascule bouscule l’image d’Épinal du pirate. Le ticket d’entrée n’est plus un diplôme d’ingénieur ou un logiciel malveillant hors de prix, mais un casque-micro, un peu d’aplomb et la patience de passer dix coups de fil pour en réussir un. Les entreprises de sécurité qui traquent Scattered Spider décrivent des jeunes gens qui se mettent au défi entre eux, presque par jeu, avant de mesurer les sommes en jeu.
Les arrestations s’enchaînent
Peter Stokes n’est pas une prise isolée. En Floride, un autre membre connu sous les pseudonymes « Sosa » et « King Bob », Noah Urban, a été arrêté pour le vol d’environ 800 000 dollars en cryptomonnaies obtenus grâce au détournement de cartes SIM. Des adolescents britanniques ont aussi été interpellés au fil des mois. Chaque coup de filet grignote la bande sans jamais la démanteler tout à fait.
Le dossier de Stokes l’associe à au moins quatre intrusions. En mai 2025, avec des complices, il aurait visé un joaillier de luxe, aspiré ses données et exigé près de 8 millions de dollars en cryptomonnaie. L’entreprise a refusé de payer et expulsé les intrus de son réseau, mais elle évalue tout de même ses pertes à au moins 2 millions, entre interruption d’activité, enquête et remise en état. Présenté mardi devant un tribunal fédéral de Chicago, le jeune homme est resté derrière les barreaux.
Une recette impossible à effacer
Une arrestation entame le groupe, elle ne l’efface pas. Les spécialistes observent une bande qui mue sans cesse, change parfois de nom, et dont la méthode, un appel bien préparé, se copie sans le moindre matériel. La parade tient d’ailleurs en une consigne peu spectaculaire : apprendre aux services d’assistance à douter de la voix aimable qui réclame un accès dans l’urgence.
Le procédé ne vise pas que les mastodontes. C’est exactement le même script qui vide les comptes des particuliers : un correspondant qui se présente comme votre banque, votre opérateur ou un technicien censé « sécuriser » votre ordinateur, et qui obtient un code ou une prise de contrôle à distance. La différence tient au montant, pas à la ruse. Le réflexe qui protège une multinationale protège aussi le voyageur pressé : raccrocher, puis rappeler soi-même le numéro officiel avant de communiquer quoi que ce soit.
Peter Stokes encourt plusieurs années de prison aux États-Unis s’il est reconnu coupable des faits de complicité, d’intrusion informatique et de fraude qui lui sont reprochés. Son prochain rendez-vous judiciaire dira à quel rythme la justice compte refermer le piège sur une génération de pirates qui a grandi un téléphone à la main.