Un membre central de Scattered Spider reconnaît les faits
Tyler Robert Buchanan, Britannique de 24 ans connu sous le pseudonyme Tylerb, a plaidé coupable aux Etats-Unis pour association de malfaiteurs en vue de fraude électronique et vol d’identité aggravé. Présenté comme un membre influent de Scattered Spider, il attend désormais sa sentence, avec une peine potentielle qui dépasse 20 ans de prison.
Cette affaire donne un visage plus net à un groupe déjà réputé pour ses attaques fondées moins sur l’exploit technique que sur la manipulation humaine. Scattered Spider s’est imposé comme l’un des collectifs criminels les plus agiles du moment, en ciblant d’abord les failles de confiance dans les entreprises.
Des campagnes SMS pour entrer dans les entreprises
Selon les éléments reconnus par Buchanan, le groupe a mené à l’été 2022 des dizaines de milliers de campagnes de phishing par SMS. L’objectif était simple: pousser des employés ou des prestataires à livrer des informations d’accès, ou à ouvrir une porte vers des outils internes.
Une fois ces premiers accès obtenus, les attaquants ont visé au moins une douzaine de grandes sociétés technologiques, dont Twilio, LastPass, DoorDash et Mailchimp. Dans ce type d’attaque, le volume et la répétition comptent autant que la sophistication: plus les messages semblent ordinaires, plus ils ont de chances de passer.
De la compromission au vol de cryptoactifs
Les données récupérées lors de ces intrusions n’ont pas seulement servi à explorer les réseaux visés. Elles ont aussi permis de lancer des attaques par SIM swapping, une technique qui consiste à détourner le numéro de téléphone d’une victime vers une carte SIM contrôlée par les fraudeurs.
Ce basculement est particulièrement dangereux pour les investisseurs en cryptomonnaies, car le téléphone sert souvent de clé de secours pour réinitialiser des comptes et valider des opérations sensibles. En s’emparant de ce canal, les attaquants ont pu siphonner des millions de dollars d’actifs numériques.
Pourquoi cette affaire compte au-delà d’un seul prévenu
Le dossier Buchanan rappelle une réalité gênante pour les entreprises: la plupart des intrusions les plus coûteuses commencent par un échange banal, un appel au support, un SMS crédible ou une demande de réinitialisation. Quand l’attaquant se fait passer pour un salarié, la défense dépend souvent de procédures humaines plus que d’outils sophistiqués.
Pour les organisations, le signal est clair. Sécuriser les identités ne se limite plus à imposer des mots de passe complexes. Il faut verrouiller les réinitialisations, renforcer la vérification des demandes sensibles et réduire la place laissée à l’improvisation dans les équipes de support.