Cela devait être la dernière étape judiciaire préparant sa rédemption, après des aventures cybercriminelles mouvementées commencées à la fin de son adolescence. Cet épilogue est désormais compromis par une fuite en Abkhazie, région séparatiste de la Géorgie sous tutelle russe. Piqués au vif par l’absence d’Augustin Inzirillo, jeudi 5 septembre, les magistrats de la 13e chambre correctionnelle ont condamné cet informaticien autodidacte de 26 ans à une peine de trois ans de prison dont la moitié avec sursis, assortie d’un mandat d’arrêt.
Ce quantum va « bien au-delà des réquisitions du parquet » – trois ans de prison avec sursis –, convient le président du tribunal, Guillaume Daïeff. Mais les juges considèrent que l’escapade du prévenu en Abkhazie, introuvable depuis des mois, est une « fuite ». « Cette proximité avec la Russie », pays notoirement laxiste avec les cybercriminels, « c’est assez intrigant », remarquait un peu plus tôt la substitut du procureur, Audrey Gerbaud. « Cela attire l’attention sur une éventuelle récidive », estime-t-elle. Dans une lettre lue en début de l’audience, Augustin Inzirillo faisait pourtant part de son vif souhait d’être présent à son procès. Mais il arguait ne pouvoir se rendre en Géorgie pour y prendre l’avion à cause d’un problème de visa. « Quand je serai libre de voyager, je serai ravi de me présenter devant vous », concluait-il.
Augustin Inzirillo était poursuivi pour avoir développé sept ans plus tôt un programme malveillant : TinyNuke. Ce malware bancaire a été diffusé de mars à septembre 2018 par des campagnes d’hameçonnage. L’ouverture malencontreuse du lien contenu dans les e-mails reçus par les victimes déclenchait le téléchargement du logiciel, conçu pour récupérer des informations sensibles, comme les couples identifiants-mot de passe, mais aussi pour lancer de manière automatisée des virements en cas de connexion à des sites bancaires.
Selon les dires d’Augustin Inzirillo, ce programme était exploité par un gang de pirates algériens. Le jeune homme affirme avoir été mis en contact avec eux par Hamza Bendelladj, une figure de la cybercriminalité alors en détention aux Etats-Unis. L’enquête a mis au jour une trentaine de virements bancaires frauduleux, dont onze réussis, se soldant par le transfert d’environ 100 000 euros depuis les comptes de sept victimes. Augustin Inzirillo, lui, aurait touché environ 10 000 euros par mois.
« On ramène le jambon et les Leffe Ruby »
« C’est un jeune homme qui s’est brûlé les ailes, plaide son avocat, Robin Binsard. Il était mû par une sorte de reconnaissance, il voulait être repéré, mais une fois en ligne, sa créature, son programme, l’a dépassé. » A l’époque, le jeune homme né en Californie est en effet en pleine dérive. Arrivé dans l’Hexagone à ses 12 ans, il lâche le lycée quelques années plus tard pour un cocktail détonnant : jeux vidéo à outrance et écriture de programmes malveillants.
TinyNuke fait la fierté de l’informaticien autodidacte, au point qu’il en diffuse le code aux yeux de tous sur le site de partage GitHub. Mais cet amour-propre est également à l’origine de sa chute. Comme rappelé à l’audience, vexé par les messages d’alerte sur le réseau social Twitter d’un spécialiste en sécurité informatique de la Société générale, Augustin Inzirillo entame une riche correspondance avec ce chercheur qui le traque, des investigations à l’origine de la procédure judiciaire.
Ces e-mails et ces messages publics ou privés, publiés sur Twitter, ont été lus avec gourmandise à l’audience et révèlent un étonnant mélange de confessions et de blagues. Il y a aussi des insultes, mais Augustin Inzirillo conteste là en être l’auteur. Le jeune homme explique par exemple ne pas vouloir être « un codemonkey », un développeur effectuant seulement des tâches de routine. « Wesh les collègues on se fait un casse-croûte ? On ramène le jambon et les Leffe Ruby », blague-t-il dans un courriel. Un dernier tweet, envoyé le 28 août, prend la forme d’une dernière bravade : on y découvre la photo du passeport d’Augustin Inzirillo, présenté comme le développeur de TinyNuke.
A l’époque, le jeune homme a déjà la suite en tête. Après la Serbie, il a rejoint l’Ukraine. A court d’argent, il peaufine un nouveau programme malveillant, Vareniky, qui va permettre de lancer une vague d’extorsions. Elles vaudront au jeune homme, qui s’est rendu entretemps, une condamnation en novembre 2023 à trois ans de prison, dont deux avec sursis. Un procès encore frais dans la mémoire des juges parisiens. A l’époque, Augustin Inzirillo avait assuré aux juges vouloir reprendre des études pour travailler au plus vite et ainsi rejoindre son épouse vivant à Paris. On connaît la suite.