Il avait plaidé maladroitement “une curiosité malsaine pour le hacking”. Rayan K., le pirate informatique qui s’était attaqué au Pass navigo, vient d’être condamné ce mardi 10 décembre à deux ans de prison avec sursis par les juges de la 13e chambre correctionnelle du tribunal judiciaire de Paris.
Cet étudiant en informatique de vingt ans a été reconnu coupable d’accès, de maintien et d’extraction frauduleuse dans un système de traitement automatisé de données, de détention sans motif légitime d’un programme conçu pour commettre des piratages, de recel et enfin d’escroquerie.
Rayan K. écope également d’une amende de 5000 euros, dont 4000 euros avec sursis. Il est enfin visé par une interdiction d’exercer dans la cybersécurité pendant trois ans, avec sursis, et devra verser un total de 10 000 euros à Île-de-France Mobilités, l’autorité organisatrice des transports en commun de la capitale.
Peine d’un an avec sursis requise
A l’audience, le parquet avait seulement requis une peine d’un an de prison et 5000 euros d’amende, le tout avec sursis. “Il voulait gagner de l’argent facilement et cherchait la gloire en s’attaquant à un tel site web, pour montrer qu’il pouvait jouer dans la cour des grands”, avait analysé la substitute du procureur Audrey Gerbaud.
La défense avait brossé de son côté le portrait d’un jeune pas très dégourdi, qui avait profité des failles de sécurité d’Île-de-France Mobilités à cause de l’absence d’authentification forte.
“Mon client ne s’y connaît pas vraiment, il a investi beaucoup de temps [dans la cybercriminalité] pour pas grand chose, par ignorance”, expliquait son avocat, Alexandre Lazarègue.
“Pour voir si ça marchait”
A l’automne 2023, Rayan K. avait déniché sur le forum Selkis online une version d’Open bullet customisée pour viser le site d’Île-de-France Mobilités. Il avait alors lancé, “pour voir si ça marchait”, des attaques par bourrage d’identifiants. Les huit millions de requêtes envoyées lui avaient permis l’accès à 4230 comptes d’usagers du Pass navigo.
Après l’avoir identifié, les policiers avaient également découvert la trace d’une escroquerie commise un peu plus tôt.
Après avoir mis en ligne une fausse annonce immobilière sur Le Bon Coin, Rayan K. avait réussi à mettre la main sur un téléphone Pixel 7 en utilisant la pièce d’identité et le relevé d’identité bancaire d’une personne intéressée par l’appartement.