Un acteur discret mais stratégique de la cybercriminalité
Derrière de nombreuses cyberattaques de grande ampleur se cache un métier peu connu du grand public : celui de courtier en accès, ou Initial Access Broker (IAB). Ces intermédiaires ne lancent pas directement les attaques, mais fournissent la clé d’entrée. C’est précisément ce rôle qu’occupait Feras Khalil Ahmad Albashiti, un ressortissant jordanien de 40 ans, qui vient de plaider coupable devant la justice américaine.
L’homme, connu en ligne sous le pseudonyme « r1z », a admis avoir vendu des accès non autorisés aux réseaux informatiques d’au moins 50 entreprises basées aux États-Unis. Les faits remontent à 2023, alors qu’il résidait dans la République de Géorgie.
Des forums clandestins comme place de marché
Les activités d’Albashiti se déroulaient principalement sur des forums underground spécialisés dans la vente de malwares, d’exploits et d’accès compromis. Ces plateformes fonctionnent comme de véritables places de marché : profils pseudonymes, réputation, négociations privées et paiements en cryptomonnaies.
C’est dans ce contexte que, en mai 2023, des enquêteurs surveillant l’un de ces forums ont repéré le compte « r1z ». Sous ce nom, Albashiti proposait à la vente des accès à des réseaux d’entreprises, un produit très recherché par les groupes de rançongiciels et autres cybercriminels.
Une vente à un agent infiltré
Le 19 mai 2023 marque un tournant. Ce jour-là, Albashiti vend à un acheteur qui n’est autre qu’un agent des forces de l’ordre agissant sous couverture. En échange de cryptomonnaie, il fournit un accès non autorisé aux réseaux d’au moins 50 entreprises victimes.
Concrètement, la transaction ne se limite pas à un simple identifiant. Le courtier transmet une liste détaillée d’adresses IP, de noms d’utilisateurs et surtout des instructions permettant de contourner les dispositifs de sécurité, notamment des pare-feu utilisés par les entreprises ciblées. Autrement dit, il livre un mode d’emploi prêt à l’emploi pour pénétrer les réseaux.
Pour un cybercriminel, ce type d’accès représente un gain de temps considérable : inutile de chercher une faille ou de mener une campagne de phishing, la porte est déjà entrouverte.
Des liens avec l’écosystème des ransomwares
L’enquête ne s’est pas arrêtée à cette première vente. Afin d’étayer le dossier, l’agent infiltré a poursuivi les échanges avec Albashiti. Dans un second temps, il lui verse 15 000 dollars supplémentaires pour obtenir une copie d’un malware capable de neutraliser des solutions de détection et de réponse sur les terminaux (EDR).
Ces outils de sécurité sont pourtant conçus pour repérer et bloquer les comportements malveillants. Les désactiver revient à aveugler les équipes de défense. En parallèle, Albashiti fournit également un logiciel permettant l’élévation de privilèges, une étape cruciale pour prendre le contrôle total d’un système compromis.
Même si l’homme n’a pas été accusé de déployer lui-même des ransomwares, ces éléments illustrent clairement son intégration dans une chaîne criminelle plus large, où chaque acteur se spécialise.
Le rôle clé des access brokers
L’affaire met en lumière le rôle central des access brokers dans les cyberattaques modernes. Leur travail consiste à identifier des réseaux vulnérables, à s’y infiltrer, puis à monétiser cet accès auprès d’autres criminels.
On peut comparer leur fonction à celle d’un cambrioleur qui repère les immeubles mal protégés, en copie les clés, puis revend ces clés à des bandes organisées. Le courtier ne vole pas directement, mais sans lui, de nombreuses attaques seraient beaucoup plus complexes à mener.
Arrestation et extradition
Après l’identification formelle de « r1z » comme étant Feras Khalil Ahmad Albashiti, la justice américaine a engagé une procédure internationale. Le Département de la Justice, via son Bureau des affaires internationales, a obtenu son extradition depuis la Géorgie en juillet 2024.
Cette coopération judiciaire souligne l’importance croissante des partenariats internationaux face à une cybercriminalité qui ignore les frontières. Les cybercriminels peuvent opérer depuis n’importe quel pays, mais les forces de l’ordre cherchent désormais à réduire ces zones de refuge.
Une reconnaissance de culpabilité devant la justice fédérale
Albashiti a comparu devant un tribunal fédéral à Trenton, dans le New Jersey, où il a plaidé coupable. Les charges portent sur des faits de fraude et d’activités connexes liés à l’utilisation et à la vente de dispositifs d’accès.
La loi américaine prévoit pour ce type d’infraction une peine maximale de dix ans de prison, ainsi qu’une amende pouvant atteindre 250 000 dollars, voire le double des gains ou des pertes générées par les faits.
La sentence sera prononcée le 11 mai 2026.
Une enquête menée par le FBI
L’enquête ayant conduit à ce plaidoyer de culpabilité a été menée par le Federal Bureau of Investigation. Les autorités ont salué le travail des agents spécialisés en cybercriminalité, qui ont su exploiter les techniques d’infiltration en ligne pour remonter jusqu’à un acteur clé du marché noir numérique.
Le dossier est pris en charge par l’unité cybercriminalité du parquet fédéral du New Jersey, preuve supplémentaire de la priorité accordée à ce type de menace.
Un signal fort envoyé aux cybercriminels
Au-delà du cas individuel, cette affaire envoie un message clair à l’ensemble de l’écosystème cybercriminel : même les acteurs intermédiaires, souvent moins visibles que les groupes de rançongiciels, peuvent être identifiés, poursuivis et extradés.
Les access brokers ont longtemps cru bénéficier d’une certaine discrétion. Cette condamnation rappelle qu’ils constituent une cible prioritaire pour les autorités, car frapper ces intermédiaires revient à perturber toute la chaîne des cyberattaques.