Hamza Bendelladj, l’énigmatique « hacker souriant » soupçonné de cyberattaques en France

Après de multiples tentatives de connexion des agents du tribunal à la visioconférence, Hamza Bendelladj apparaît enfin à l’écran. Le dégradé est saillant, la barbe taillée de près et le visage sérieux. Le 31 août 2023, le hacker de 35 ans comparaissait devant la 13e chambre du tribunal de Paris depuis la prison de Safford en Arizona (États-Unis). Il est soupçonné par la Brigade de lutte contre la cybercriminalité (BL2C, ex-BEFTI) d’avoir piraté de nombreuses prisons et entreprises à l’aide d’un rançongiciel en 2018.

Pourtant, au bout de sept heures d’audience, Hamza Bendelladj est relaxé de tous les chefs d’accusations. En cause ? Une erreur dans la mention des logiciels malveillants qu’il aurait utilisés pour commettre ces infractions. Le parquet de Paris, contacté par Numerama, confirme avoir fait appel de l’ensemble de la décision, renvoyant à une date ultérieure (et encore inconnue) Hamza Bendelladj devant la justice française.

Sur la liste des 10 personnes les plus recherchées par le FBI

Pour comprendre à quel point son parcours est à part, il faut remonter à 2013. Le pirate, connu en ligne sous le nom de « BX1 », est arrêté lors d’une escale à l’aéroport de Bangkok (Thaïlande) alors qu’il transite vers l’Égypte. Les menottes autour des poignets, il est photographié avec un large sourire qui lui vaudra le sobriquet de « hacker souriant ».

Cyberattaques : quand l’humain est le maillon faible

Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.

Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.

Sponsorisé

En savoir plus

Le jeune homme n’a que 24 ans à l’époque, mais figure parmi la liste des 10 personnes les plus recherchées au monde par le FBI. Hamza Bendelladj aurait volé entre « 10 et 20 millions de dollars » à plusieurs banques américaines, grâce au logiciel SpyEye. Ce cheval de Troie bancaire a infecté plus de 50 millions d’ordinateurs entre 2010 et 2012 et aurait causé un préjudice financier d’un milliard de dollars dans les banques du monde entier, estime le ministère de la Justice américain. 

Le hacker, considéré comme une légende sur le net, est extradé aux États-Unis pour y être jugé en 2016. Au terme de ce procès, « BX1 » est reconnu coupable d’avoir développé et utilisé le trojan en vue de commettre plusieurs fraudes électroniques, informatique et bancaire. À ses côtés, le Russe Alexandre Andreïevitch Panin, principal créateur de SpyEye, est aussi reconnu coupable. Mais, contrairement à Panin, qui a purgé une peine de 9 ans de prison et qui est sorti en novembre 2022, Hamza Bendelladj est condamné à 15 ans de réclusion. Aujourd’hui, le mystère plane encore. Personne ne sait estimer la véritable somme empochée par le hacker.

Hacker des prisons depuis… sa prison

En 2018, Hamza Bendelladj se retrouve au cœur de l’enquête de la police française. La BL2C soupçonne « BX1 » d’avoir déployé le rançongiciel PyLocky à travers des campagnes massives de spam, touchant, entre autres, des agents du Tribunal de grande instance de Lyon, des centres pénitentiaires de Varennes-le Grand, de Bourg-en-Bresse et de Saran entre juillet et septembre 2018. En tout, près de 1 000 agents du ministère de la Justice auraient été destinataires de ces mails frauduleux.

Selon ZDNET, qui cite une source proche de l’enquête, les policiers auraient réussi à remonter jusqu’à Hamza Bendelladj grâce à l’identification de plusieurs adresses IP localisées à Forrest City, en Arkansas. Non loin d’une prison depuis laquelle le hacker a purgé une partie de sa peine. Mieux, une autre adresse IP identifiée appartiendrait à un certain Boualem, le frère de Hamza Bendelladj. « À la fin de l’année 2018, les policiers ont la conviction qu’il trempe dans cette histoire », écrit le journaliste de ZDNET Gabriel Thierry, à la veille du procès en France. Mais, est-ce aussi facile pour un hacker de mener des attaques informatiques massives depuis un smartphone ? Et, pourquoi un pirate de son envergure aurait-il laissé des traces aussi visibles ? 

Un pirate énigmatique et malin

À Paris, le 31 août, l’audience ne permet pas de répondre à ces questions, ni d’en savoir plus sur les intentions du pirate. « C’est une personne mystérieuse, beaucoup de rumeurs ont circulé et circulent à son sujet », commente Damien Bancal, spécialiste en cybersécurité, présent lors de l’audience. « Cela reste quelqu’un de très intelligent et de malin. D’ailleurs, on avait le sentiment qu’il avait les choses en main depuis le départ durant le procès », ajoute celui qui connaît bien ce dossier.

Durant l’audience, Hamza Bendelladj fait peu d’effet. Il est à peine sollicité, tapote sur une espèce de tablette et grignote. Un instant même, il bâille à gorge déployée durant la plaidoirie de l’un de ses avocats. Avant de s’apercevoir que son micro d’ordinateur est allumé et de s’excuser. 

Pourtant, c’est bien lui qui scelle l’issue du procès après plusieurs rebondissements judiciaires (des rejets de demande de renvois et deux questions prioritaires de constitutionnalité [QPC] écartées). « BX1 » déclare être confus : sa citation à comparaître mentionne le rançongiciel JobCrypter tandis que l’accusation évoque PyLocky. « Le braquage d’un Leclerc n’est pas celui d’un Carrefour », embraient les avocats Me Chiche et Me Nataf, en réponse à la substitut du procureur Audrey Gerbaud qui, elle, juge cette erreur « superfétatoire ».

La bourde suffit à relaxer Hamza Bendelladj. Si la date d’un nouveau procès en France demeure inconnue, le « hacker souriant » pourrait sortir de prison aux États-Unis en début d’été 2024. On imagine qu’une fois la visioconférence coupée, Hamza Bendelladj a laissé échapper un sourire.