Hamza Bendelladj

Parcours

Hamza Bendelladj, né le 3 juin 1988, est un ressortissant algérien devenu internationalement connu dans les milieux de la cybersécurité et des forces de l'ordre sous les pseudonymes en ligne « BX1 » et « Daniel HB ». Il a hérité du surnom informel de « Hacker souriant » après que des photos prises au moment de son arrestation l'ont montré souriant, menotté, lors de présentations aux médias.

Mode opératoire

Bendelladj a utilisé le logiciel malveillant SpyEye pour s'infiltrer dans les systèmes informatiques de banques et de particuliers, en collectant mots de passe et codes d'identification de comptes. Une fois l'accès à un compte obtenu, les fonds étaient vidés. Le botnet SpyEye, qui a finalement infecté plus de 60 millions d'ordinateurs dans le monde — majoritairement aux États-Unis —, a été développé en collaboration avec son associé russe Aleksandr Andreevich Panin, qui opérait sous le pseudonyme « Gribodemon ». Le malware servait à voler des identifiants bancaires aux victimes et a été déployé contre plus de deux cents institutions financières américaines et européennes. Le Department of Justice américain a estimé par la suite que le virus SpyEye était responsable d'environ un milliard de dollars de vols. Les activités de Bendelladj l'ont placé sur les listes des dix hackers les plus recherchés d'Interpol et du FBI, déclenchant une traque d'environ cinq ans.

Arrestation et extradition

Bendelladj a été arrêté le 7 janvier 2013 par la police thaïlandaise à un aéroport de Bangkok lors d'une escale entre la Malaisie et l'Égypte. Il n'a pas opposé de résistance à son arrestation. Son épouse et sa fille, qui voyageaient avec lui, ont poursuivi leur voyage vers l'Égypte sans lui. Il a été extradé aux États-Unis en mai 2013 et a été jugé à Atlanta, en Géorgie.

Son complice, Aleksandr Panin, a été arrêté séparément le 1ᵉʳ juillet 2013 à l'aéroport international Hartsfield-Jackson d'Atlanta et a plaidé coupable devant la cour fédérale d'Atlanta en janvier 2014.

Procédures judiciaires et condamnation

Bendelladj a plaidé coupable le 25 juin 2015 à Atlanta. Il encourait une peine pouvant aller jusqu'à 30 ans de prison et une amende de quatorze millions de dollars. Le 20 avril 2016, une cour américaine l'a condamné à 15 ans de prison fédérale, suivis de 3 ans de probation. Il a été détenu à la Terminal Island Federal Correctional Institution, un établissement à sécurité minimale. Panin a reçu une peine de 9 ans et 6 mois. L'avocat de Bendelladj a annoncé son intention de faire appel de la décision.

Attention publique et controverse en ligne

À la suite de son arrestation, des rumeurs se sont propagées en ligne — notamment sur les réseaux sociaux — selon lesquelles Bendelladj était menacé de la peine de mort aux États-Unis. Une pétition a été lancée appelant le ministère des Affaires étrangères algérien et le président américain Barack Obama à intervenir en sa faveur. L'ambassadrice des États-Unis en Algérie, Joan A. Polaschik, a publiquement précisé via Twitter que les infractions informatiques ne sont pas des crimes passibles de la peine capitale en droit américain. Les allégations circulant en ligne selon lesquelles Bendelladj aurait reversé des fonds volés à des causes caritatives n'étaient pas étayées par les documents du procès, et le Department of Justice américain n'a fait mention d'aucun de ces dons dans sa procédure.

Libération et retour en Algérie

Après avoir purgé sa peine, Bendelladj a été libéré de détention fédérale américaine et est rentré en Algérie. À son retour, il a partagé sur Instagram une photographie légendée « ALGERIE Mi Amor », en référence à une chanson du rappeur L'Algérino. Le rappeur algérien Didine Canon 16 a publiquement célébré sa libération. Son retour a déclenché un débat public en Algérie sur la cybersécurité, le rôle des hackers dans la société et les implications de sa liberté.