Conor Brian Fitzpatrickle propriétaire du site Web aujourd’hui disparu BreachForums, a plaidé coupable à des accusations liées à son fonctionnement du forum sur la cybercriminalité ainsi qu’à la possession d’images de pornographie juvénile.
Le développement, signalé pour la première fois par DataBreaches.net la semaine dernière, survient près de quatre mois après que Fitzpatrick (alias pompompurin) a été officiellement inculpé aux États-Unis de complot en vue de commettre une fraude sur les dispositifs d’accès et de possession de pornographie juvénile.
BreachForums, lancé en mars 2022, fonctionnait comme un marché illégal qui permettait à ses membres d’échanger des bases de données piratées ou volées, permettant à d’autres acteurs criminels d’obtenir un accès non autorisé aux systèmes cibles. Il a été fermé en mars 2023 peu après l’arrestation de Fitzpatrick à New York.
On estime que pas moins de 888 bases de données composées de 14 milliards d’enregistrements individuels ont été trouvées au total. Le forum comptait plus de 333 000 membres avant son retrait.
« Le but de BreachForums, et l’intention de Fitzpatrick dans l’exploitation du forum, était de commettre, d’aider et d’encourager le trafic de bases de données volées ou piratées contenant, entre autres, des dispositifs d’accès, et la publication de sollicitations pour proposer des bases de données contenant des dispositifs d’accès », selon les documents judiciaires.
Le jeune homme de 20 ans encourt une peine de prison maximale de 40 ans, avec des amendes totalisant 750 000 $. Il devrait être condamné le 17 novembre 2023.
La nouvelle de l’accord de plaidoyer de Fitzpatrick intervient alors que la police nationale espagnole a appréhendé un ressortissant ukrainien recherché à l’échelle internationale pour son implication dans une opération frauduleuse de scareware s’étalant de 2006 à 2011 et échappé à la capture pendant plus d’une décennie.
Elle fait également suite à la condamnation d’Ashley Liles, un ancien analyste en sécurité informatique de 28 ans, à trois ans et sept mois de prison pour avoir tenté d’extorquer son employeur lors d’une attaque par ransomware en 2018.
Liles, du Hertfordshire, aurait modifié l’e-mail de rançon d’origine et changé l’adresse de paiement fournie par l’attaquant d’origine dans le but de détourner tout paiement de rançon vers lui-même. Il avait précédemment plaidé coupable en avril 2023.
« Liles, avec d’autres collègues, a travaillé avec la police pour enquêter sur l’incident », a déclaré l’Unité régionale du crime organisé du Sud-Est (SEROCU) dans un communiqué de presse.
« En utilisant les informations qu’il a apprises de cela, Liles a lancé une attaque secondaire contre l’entreprise. Il a accédé aux e-mails des membres du conseil d’administration plus de 300 fois et a modifié l’adresse e-mail d’origine des attaquants en une adresse presque identique. »
