Informateur pour la direction générale de la sécurité intérieure (DGSI) ou complice de cybercriminels ? Florent Curtet, ex-hackeur à la tête d’une entreprise de cybersécurité, était soupçonné d’avoir profité d’un vol de données liées à l’instruction de l’attentat contre Charlie Hebdo pour extorquer de l’argent à un cabinet d’avocats. Le trentenaire français a été condamné par la 13ᵉ chambre correctionnelle du tribunal judiciaire de Paris, lundi 16 décembre, à deux ans d’emprisonnement avec sursis pour association de malfaiteurs et complicité de tentative d’extorsion. Il est également interdit d’exercer dans le domaine de la cybersécurité pendant cinq ans, dont quatre avec sursis. Il doit enfin s’acquitter d’une amende de 13 000 euros et verser, au total, 39 000 euros de préjudice aux différentes parties civiles.
L’autoproclamé « hackeur éthique », connu pour ses prises de parole médiatiques et les zones d’ombre de son CV, avait joué un rôle trouble dans des négociations consécutives à un vol de données appartenant au cabinet d’avocats Le Bonnois. En 2021, près de 14 millions de documents liés au procès de l’attentat contre Charlie Hebdo et de l’assassinat de Samuel Paty avaient été dérobés par le gang de hackeurs Everest, à l’aide d’un rançongiciel. Florent Curtet, à la tête d’une entreprise de cybersécurité, avait proposé ses services pour jouer les intermédiaires dans les négociations.
Mais ses interactions avec les hackeurs interrogent. Il a prétendu s’être rendu en Russie pour récupérer les données sur un support physique (ce qui ne permet pourtant pas de s’assurer de leur destruction), voyage qui était en réalité inventé de toutes pièces, a admis le prévenu lors du procès. Il a également exigé de l’argent auprès du cabinet Le Bonnois, faisant grimper la somme après avoir appris la nature sensible de ces fuites de données. Ses échanges de messages avec les cybercriminels, révélés pendant le procès, ont même semblé montrer des incitations : à un membre du gang Everest qui affirme vouloir déployer un rançongiciel, il répond « Let’s do it » (« allons-y »).
Lors de son procès, Florent Curtet a assuré qu’il jouait alors le rôle d’informateur pour la DGSI et pour l’Agence nationale de sécurité des systèmes d’information. Une défense qui n’a pas convaincu les juges, malgré la présence au tribunal d’un policier à la retraite appuyant ses dires. Si Florent Curtet, condamné pour des détournements de cartes bancaires en 2011, aime mettre en avant son passé de hackeur « redouté par la CIA », il n’a en revanche pas participé aux piratages du gang Everest, a estimé le tribunal, qui l’a relaxé du chef de complicité d’atteinte à un système de traitement automatisé de données.
