Un jeune homme de 18 ans, jugé coupable de plusieurs vagues de piratages, dont une ayant mené au vol et à la diffusion d’images du jeu Grand Theft Auto VI (GTA VI) en septembre 2022, a été placé, jeudi 21 décembre, en hospitalisation forcée jusqu’à nouvel ordre, a annoncé un tribunal britannique.
Arion Kurtaj, en compagnie d’un mineur de 17 ans dont le nom n’a pas été divulgué, a été jugé coupable de participation au groupe Lapsus$, un acteur aux contours flous accusé d’être derrière un grand nombre d’attaques informatiques contre des entreprises privées. Aussi connu sous les pseudonymes de « White », de « Breachbase » et de « 4c3 », M. Kurtaj a non seulement été condamné pour une attaque visant Rockstar Games, développeur de GTA VI, mais aussi pour avoir piraté Uber et la société bancaire Revolut. Il a par ailleurs été jugé coupable de fraude et d’extorsion envers le réseau de télécommunications EE et le fabricant de matériel informatique Nvidia.
Haut risque de récidive
En raison de ses troubles du spectre autistique, la justice a estimé qu’Arion Kurtaj ne pouvait pas être jugé dans le cadre d’un procès traditionnel. La juge Patricia Lees a décidé de son placement dans un hôpital sécurisé jusqu’à ce que la justice décide, après évaluation psychologique, s’il peut être laissé libre. Il a été estimé qu’il représentait pour le moment un risque trop élevé de récidive, au vu de ses dernières évaluations.
Son complice de 17 ans a été condamné à suivre des mesures de réhabilitation, avec un suivi obligatoire de dix-huit mois. Une peine qui prend par ailleurs en compte d’autres accusations, dont des faits de harcèlement pour lesquels il a plaidé coupable devant un tribunal pour enfants.
Arion Kurtaj a gagné, au cours des dernières années, une réputation de pirate juvénile et peu prudent impliqué dans un certain nombre d’attaques de grande ampleur, sans déployer de moyens techniques sophistiqués mais en recourant souvent à des méthodes d’ingénierie sociale, en piégeant des employés d’entreprises ciblées ou en achetant des identifiants volés sur le marché noir. Son nom avait été diffusé sur Internet dès 2021, à l’issue d’une dispute peu claire avec les propriétaires de Doxbin, un site conçu pour diffuser sauvagement des informations personnelles d’autres personnes.
Le groupe de pirates auquel il est rattaché, Lapsus$, a initialement commencé ses activités en choisissant ses cibles en Amérique latine, avant de s’étendre au reste du monde. Malgré ses méthodes parfois rudimentaires, il s’est fait connaître très rapidement en réalisant des attaques très visibles : officiellement spécialisé dans l’extorsion de fonds, en volant des données et en faisant pression sur les victimes pour qu’elles paient une rançon, Lapsus$ a en effet manifesté au fil du temps son goût prononcé pour la lumière médiatique, diffusant de plus en plus rapidement les données exfiltrées au lieu de négocier avec ses victimes. Aujourd’hui encore, un flou demeure autour des contours précis de Lapsus$, et des potentielles complicités dont le jeune pirate britannique a pu bénéficier.