Florent Curtet condamné : entre biopic et roman policier !

Posted On 22 Déc 2024

Condamné pour complicité de tentative d’extorsion, Florent Curtet voit sa carrière en cybersécurité s’effondrer sous des accusations troublantes.

Florent Curtet, ancien cybercrimel devenu chef d’une entreprise dans la cybersécurité, vient de voir se conclure sa nouvelle affaire judiciaire. Une affaire complexe mêlant extorsion, cybercriminalité, sortie d’un « livre » pour adoucir la justice et une prétendue collaboration avec les services de renseignement français. Condamné le 16 décembre 2024 par la 13ᵉ chambre correctionnelle du tribunal judiciaire de Paris, il écope de deux ans de prison avec sursis pour association de malfaiteurs et complicité de tentative d’extorsion.

Cette affaire, qui prend sa source dans le vol massif de 14 millions de documents sensibles liés au procès de l’attentat contre Charlie Hebdo et l’assassinat de Samuel Paty, expose les dérives de certains acteurs se proclamant hackeurs éthiques. Bien qu’ayant affirmé jouer un rôle d’informateur pour la DGSI (Le service de renseignement intérieur français), Curtet a été sanctionné lourdement par la justice, qui interdit son activité dans la cybersécurité pour cinq ans, dont quatre avec sursis.

Décryptage d’un parcours controversé.

Une affaire née du vol de documents sensibles

Si vous n’avez pas suivi cette affaire, vous en avez trés certainement entendu parlé via des influenceurs web et des interviews dans la presse. Ils souhaitaient tous parler de ce « Hacker français le plus recherché par la CIA » ou encore « Le hacker surdoué redouté par la CIA« . Bref, un storytelling savamment orchestré pour la sortie du livre de Florent Curtet aux Editions le Cherche Midi. Un biopic, à l’époque, un mauvais roman, aujourd’hui !

L’affaire de cet informaticien débute en 2021, lorsqu’un gang de cybercriminels baptisé Everest vole près de 14 millions de documents appartenant au cabinet d’avocats Le Bonnois. Ces données, extrêmement sensibles, concernent les procès de l’attentat contre Charlie Hebdo et de l’assassinat de Samuel Paty. Le vol a été effectué grâce à un rançongiciel, outil de prédilection des cybercriminels pour bloquer l’accès aux données jusqu’à ce qu’une rançon soit payée.

Florent Curtet, qui dirige alors une entreprise de cybersécurité, propose ses services pour agir en intermédiaire entre le cabinet victime et les hackeurs. ZATAZ vous avez parlé de cette affaire au moment de la diffusion d’un étonnant message des pirates d’Everest, sur leur blog, dénonçant un spécialiste de la cybersécurité français dans l’affaire du pirate de la société XEFI.

Mais le rôle de cet informaticien [Il est aussi fondateur de Hackers sans frontières / Hackers Without Borders avec Clément Domingo] va rapidement soulever des doutes, soutenus par ce post diffusé par les pirates eux même sur leur blog. Curtet prétendait s’être rendu en Russie pour récupérer les données, ce qu’il admettra plus tard comme étant inventé de toutes pièces. [tout comme le fait d’avoir gagné 1 million d’euros quand il était « pirate » ou encore, recherché par la CIA.].

Le français exige une somme d’argent du cabinet, qu’il augmente après avoir pris conscience de la nature sensible des documents. Troublant, des messages présentés au tribunal révèlent des échanges troublants avec le gang Everest, où Curtet semble encourager les cybercriminels en déclarant : « Let’s do it » (« Allons-y« ).

« 14 millions de documents volés, un rôle d’intermédiaire trouble expose les ambiguïtés entre éthique et cybercriminalité. »

Entre informateur et complice : une défense qui s’effondre

Face aux accusations, Florent Curtet adopte une défense singulière explique Le Monde et plusieurs observateurs de l’affaire. Il affirme avoir agi comme informateur pour la Direction générale de la sécurité intérieure (DGSI) ainsi que l’Agence nationale de sécurité des systèmes d’information (ANSSI). Il soutient que ses échanges avec les cybercriminels servaient à collecter des informations utiles aux autorités françaises. Pour appuyer cette version, un policier à la retraite témoigne même en sa faveur. Toutefois, le tribunal reste sceptique. L’ancien policier a même failli finir en garde à vue.

Les juges, comme l’indique Le Monde, notent plusieurs incohérences dans les explications de Curtet. Ses interactions avec les hackeurs malveillants montrent une collusion évidente plus qu’une tentative d’infiltration. Les demandes financières faites au cabinet d’avocats relèvent davantage d’une extorsion opportuniste que d’un acte altruiste visant à protéger les données. La justice estime que Curtet n’a pas directement participé aux piratages et le relaxe du chef de complicité d’atteinte à un système de traitement automatisé de données (STAD). Le tribunal se base sur l’intervention de l’informaticien, à la mi-juillet 2021, auprès des pirates. Bien après la cyberattaque des malveillants fin juin 2021 comme le rappel le journaliste Gabriel Thierry.

« Condamné à deux ans de sursis, l’informaticien voit sa carrière en cybersécurité s’interrompre brutalement. »

Les sanctions : un coup d’arrêt à sa carrière

La condamnation de Florent Curtet est sans appel. Deux ans d’emprisonnement avec sursis pour association de malfaiteurs et complicité de tentative d’extorsion. Une interdiction d’exercer dans le domaine de la cybersécurité pendant cinq ans, dont quatre avec sursis. Une amende de 13 000 euros et le versement de 39 000 euros de préjudice aux parties civiles.

Ces sanctions marquent un coup d’arrêt brutal pour celui qui s’auto-proclamait « hackeur éthique » et aimait évoquer un passé « redouté par la CIA » dans des interviews préparées avec deux coachs médias pour la promotion de son livre biopic : « Attrape moi si tu peux« . Livre qui aujourd’hui devrait se repositionner dans la catégorie – roman – ou – fiction – aprés les révélations de Curet, aux juges.

En France, plusieurs affaires ont impliqué des professionnels de la cybersécurité arrêtés pour des activités illégales. En octobre 2023, un ingénieur de 26 ans employé par Capgemini a utilisé le rançongiciel Knight pour chiffrer des données sensibles de l’entreprise, exigeant une rançon de 5 000 dollars en bitcoins. Initialement, l’attaque semblait provenir de l’extérieur, mais une enquête a révélé que l’auteur était un employé interne. Il a été arrêté en mai 2024 et placé en détention provisoire. Autre cas marquant, Gal Vallerius, un Franco-Israélien résidant en Bretagne, était connu sous le pseudonyme « OxyMonster » sur le dark web, où il vendait des stupéfiants. Il a été arrêté en 2017 alors qu’il se rendait à un concours de barbe aux États-Unis. En 2018, il a plaidé coupable et a été condamné à 20 ans de prison. En 2021, des discussions ont eu lieu concernant son transfert en France pour purger le reste de sa peine.

Cette affaire met en lumière les ambiguïtés qui existent parfois entre les acteurs de la cybersécurité et le monde de la cybercriminalité. Elle rappelle également que le rôle d’intermédiaire dans une négociation liée à des ransomwares demeure périlleux et doit être laissée, selon ZATAZ, dans les mains des autorités, et des autorités seules.

N’hésitez pas à vous abonner dès maintenant à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données. Ensemble, restons vigilants face à la cybercriminalité.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.