Le groupe de cybercriminels Scattered Spider, composé principalement de jeunes anglophones, multiplie les attaques contre les grandes entreprises. Les compagnies aériennes américaines, canadiennes et australiennes sont les dernières victimes en date, confirment la menace de ce collectif dont les méthodes d’infiltration et d’extorsion inquiètent les autorités.
Connu sous de nombreux noms, de Starfraud à Scatter Swine, en passant par Octo Tempest ou Muddled Libra, Scattered Spider reste le pseudonyme le plus couramment employé par les experts. Selon le FBI, ce groupe actif compterait plusieurs centaines de membres, voire un millier s’il est relié au réseau anglophone The Com dont il serait issu.
Majoritairement composé d’adolescents et de jeunes adultes, souvent basés aux États-Unis et au Royaume-Uni, Scattered Spider se distingue par une structure décentralisée. « Leur organisation s’apparente davantage à un marché noir du cybercrime qu’à un groupe structuré unique », précise le rapport du FBI consulté par The Record en juin 2025. Son noyau dur serait toutefois composé de quatre individus incontournables.
Des techniques d’infiltration éprouvées et redoutables
La force de Scattered Spider réside dans la variété de ses méthodes. Le collectif est passé maître dans l’art de l’hameçonnage, qu’il s’agisse de phishing traditionnel ou d’attaques téléphoniques visant à usurper l’identité d’employés. L’une de ses signatures techniques les plus fréquentes demeure le SIM swapping, consistant à détourner la ligne téléphonique d’une victime pour recevoir ses SMS, appels et codes de vérification.
Les attaques sont souvent facilitées par un travail préalable de contournement des authentifications multi-facteurs (MFA). Pour y parvenir, Scattered Spider recourt au MFA bombing, multipliant les tentatives d’authentification jusqu’à ce qu’un employé excédé valide la demande, ou au phishing vocal ciblant directement les services d’assistance. Une fois infiltrés, les cybercriminels consolident leur accès en installant des logiciels de contrôle à distance sur les terminaux compromis.
Une montée en puissance dans le secteur aérien
Les récentes attaques menées contre Hawaiian Airlines, WestJet et Qantas illustrent cette menace. Fin juin et début juillet 2025, alors que l’industrie aérienne entamait sa haute saison, Scattered Spider aurait infiltré les réseaux de plusieurs compagnies aux États-Unis et au Canada. Si Hawaiian Airlines et WestJet n’ont pas explicitement nommé le groupe, le FBI a confirmé son implication.
WestJet avait signalé fin juin un « incident de cybersécurité » perturbant l’accès à certains services internes. Hawaiian Airlines a également confirmé des intrusions sans toutefois constater d’impact sur ses opérations de vol. En Australie, Qantas a subi une violation potentielle de données exposant les informations personnelles de six millions de clients via un fournisseur tiers, après qu’un cybercriminel a eu accès à une plateforme de service client en usurpant l’identité d’un employé. Là encore, la technique correspond aux modes opératoires habituels de Scattered Spider.
Une alliance stratégique avec BlackCat/ALPHV
Les actions de Scattered Spider sont souvent associées à celles de BlackCat, également connu sous le nom d’ALPHV. Ce dernier agit comme un fournisseur d’outils et de rançongiciels en tant que service, permettant à des groupes affiliés comme Scattered Spider de conduire leurs attaques avec des charges utiles éprouvées. Selon les enquêtes du FBI, ce modèle économique repose sur une relation de dépendance entre le fournisseur et ses affiliés.
Cette collaboration a toutefois connu des tensions. Après son démantèlement temporaire par le FBI, BlackCat est revenu sur la scène cybercriminelle mais aurait dérobé la part de rançon revenant à l’un de ses affiliés lors de l’incident Change Healthcare. Ce précédent pourrait rebattre les cartes des partenariats au sein de l’écosystème cybercriminel et contraindre Scattered Spider à adapter ses outils et tactiques à l’avenir.
Des arrestations qui peinent à enrayer la menace
Les autorités américaines ont pourtant tenté de porter un coup d’arrêt à Scattered Spider. Le 20 novembre 2024, cinq membres présumés ont été inculpés pour fraude bancaire et usurpation d’identité. Parmi eux, Noah Urban, alias « Sosa », interpellé en janvier 2024, et Tyler Buchanan, ressortissant britannique arrêté en Espagne en juin. Joel Evans, alias « joeleoli », 25 ans, aurait quant à lui développé un outil automatisant le transfert de mots de passe volés.
Ces arrestations, bien qu’importantes, ne représentent pas la totalité du groupe. La structure décentralisée et la capacité de renouvellement constant de ses membres font de Scattered Spider un adversaire particulièrement résilient.
Un modèle d’attaque reproductible et difficile à contenir
Scattered Spider illustre la montée en puissance des cybercriminels exploitant des techniques basées sur l’identité. Leur modèle, qualifié par les experts d’attaque « living-off-the-land », consiste à utiliser les ressources internes d’une entreprise pour progresser latéralement dans le système, sans déclencher d’alertes de sécurité majeures. Ils recourent notamment à des outils comme Mimikatz pour l’extraction de mots de passe et à des mouvements latéraux via RDP (Remote Desktop Protocol).
Les secteurs visés sont variés : télécommunications, assurances, grande distribution, aviation. En 2022, le groupe s’en était pris à Twilio, entreprise américaine spécialisée dans les communications cloud. Il est également soupçonné d’avoir volé plus de 11 millions de dollars à une trentaine de particuliers, dont six millions en cryptomonnaies à une seule victime en 2021. Leur motivation reste avant tout financière, mais l’ambition de réaliser des coups d’éclat pour impressionner leurs pairs reste ancrée dans leur culture.
Vers un nécessaire renforcement des défenses
Face à Scattered Spider, les experts appellent à un renforcement généralisé de la sécurité. Pour les entreprises, il s’agit de déployer des solutions intégrées pouvant donner une visibilité sur l’identité, le cloud et les réseaux capables de détecter les tactiques spécifiques du groupe. Les organisations doivent également revisiter leurs plans de réponse aux incidents, en intégrant les risques liés aux sous-traitants et fournisseurs tiers, souvent utilisés comme point d’entrée.
Du côté des consommateurs, la prudence est de mise. Le FBI recommande d’activer l’authentification multi-facteurs sur tous les comptes et de traiter tout message ou appel provenant d’une compagnie aérienne avec une vigilance. Les intrusions dans le secteur aérien, même sans impact direct sur la sécurité des vols, rappellent la vulnérabilité d’infrastructures face à des groupes comme Scattered Spider, qui s’inscrivent désormais comme une menace durable dans le paysage cybercriminel mondial.
