Hector Monsegur dit « Sabu » : le leader LulzSec qui a balancé tous ses potes au FBI

Publié le · Lecture d'environ 13 minutes

Le 6 mars 2012, quelques heures à peine après que FBI et New Scotland Yard ont annoncé l'arrestation simultanée de cinq membres majeurs de LulzSec dans quatre pays, une rumeur parcourt les chatrooms hacker : leur leader n'était pas avec eux. Il n'a pas été cueilli à l'aube. Il n'a pas été perquisitionné. Parce qu'il était la source. Pendant 10 mois, Hector Monsegur, alias Sabu, New-Yorkais du Lower East Side et figure d'autorité d'Anonymous, avait coopéré secrètement avec le FBI tout en continuant à opérer publiquement comme leader du collectif. Sa trahison a fait tomber LulzSec, AntiSec, et envoyé Jeremy Hammond — son plus proche allié idéologique — en prison pour dix ans. Cet article raconte son histoire, sans hagiographie ni condamnation, à partir des minutes judiciaires, des entretiens publics et des documents révélés par les défenseurs de Hammond.

⚫ Cette page est la vitrine. Le reste est ailleurs. Accès Tor →

Du Lower East Side à Anonymous

Hector Xavier Monsegur naît en 1983 à New York, d'une famille portoricaine modeste établie dans le Lower East Side de Manhattan. Son père est incarcéré pour trafic de drogue quand Hector a 14 ans ; c'est sa grand-mère, Irma, qui prend en charge son éducation. Autodidacte, Hector découvre l'informatique sur des ordinateurs de récupération assemblés dans sa chambre. À 15 ans, il s'exerce déjà au hack de sites web et participe à des communautés IRC.

Dans les années 2000, Monsegur devient une figure reconnue dans les cercles hacktivistes latino-américains. Il participe à plusieurs campagnes contre des sites gouvernementaux (notamment portoricains), s'intéresse aux questions d'activisme informatique, et adopte le pseudonyme « Sabu » — un hommage au lutteur de catch Sabu, figure rebelle de l'ECW. À l'époque, Monsegur travaille occasionnellement comme technicien informatique pour des petites entreprises, mais ses revenus restent modestes.

Sa vie personnelle est complexe. Devenu adulte, il a la garde de deux jeunes cousines dont il s'occupe comme des filles adoptives, après une situation familiale difficile. Il touche des aides sociales. Cette responsabilité parentale jouera un rôle central dans sa décision de coopérer avec le FBI plus tard.

En 2010-2011, Monsegur rejoint le mouvement Anonymous en pleine expansion post-WikiLeaks. Il devient rapidement l'un des opérateurs les plus actifs du chat #anonops, participe à l'Opération Payback (attaques contre PayPal, Visa et MasterCard qui avaient coupé WikiLeaks), puis à l'Opération Tunisia. Son sens tactique et sa capacité à coordonner des opérations multi-nationales lui gagnent une forte autorité dans la communauté.

LulzSec : cinquante jours qui ont secoué Internet

Le 7 mai 2011, un noyau dur d'Anonymous décide de se scinder en un groupe plus ciblé et médiatique : LulzSec (The Lulz Boat). Les membres fondateurs : Sabu (leadership tactique), Topiary (Jake Davis, communication/PR), Kayla (Ryan Ackroyd, intrusions techniques), Tflow (Mustafa Al-Bassam, exploitation de vulnérabilités), Pwnsauce (Darren Martyn), Palladium (Donncha O'Cearrbhail).

Le groupe revendique 50 jours d'opérations intensives. La liste des cibles est hallucinante :

  • Fox.com (17 mai) — publication de 73 000 données de participants à X-Factor USA
  • PBS (30 mai) — intrusion et publication d'un faux article annonçant que Tupac Shakur était en vie en Nouvelle-Zélande
  • Sony Pictures (2 juin) — fuite de 1 million de comptes utilisateurs en clair
  • FBI affiliés (Infragard) (3 juin) — doxing de membres du programme d'intelligence du FBI
  • CIA.gov (15 juin) — attaque DDoS qui met le site hors ligne 2 heures
  • US Senate (13 juin) — intrusion de senate.gov
  • NHS (14 juin) — accès aux systèmes du National Health Service britannique
  • Arizona Department of Public Safety (23 juin) — « Chinga La Migra », fuite de 440 Mo de documents internes
  • Soca.gov.uk (20 juin) — attaque DDoS de l'agence britannique anti-crime

Chaque opération est revendiquée sur Twitter (@LulzSec) et Pastebin, avec un style provocateur et humoristique qui attire une couverture médiatique planétaire. Le compte Twitter atteint 350 000 followers en quelques semaines — au-delà de la plupart des médias traditionnels.

Le 26 juin 2011, LulzSec annonce officiellement sa dissolution via un manifeste nommé « 50 Days of Lulz ». Les membres migrent vers AntiSec, un nouveau collectif toujours coordonné par Sabu. AntiSec continuera les opérations jusqu'au démantèlement de mars 2012.

L'arrestation du 7 juin 2011

Quelques jours avant la dissolution de LulzSec, Sabu commet son erreur fatale. Selon les minutes judiciaires déposées au Southern District of New York, le 7 juin 2011 (date donc antérieure à la dissolution publique), Monsegur se connecte à un chat IRC sans activer le VPN Xerobank qu'il utilisait habituellement. Son adresse IP résidentielle à New York est alors logguée par un service surveillé par le FBI. Les agents remontent en quelques heures jusqu'à son appartement du 90 Avenue D dans le Lower East Side.

Le FBI frappe à sa porte en début de soirée. Deux agents spéciaux, un superviseur. Pas d'entrée violente, pas de SWAT — la stratégie est différente de celle qui sera employée pour Ulbricht. Les agents présentent leur mandat, laissent Monsegur quelques minutes pour digérer, puis posent la proposition : coopération totale contre une peine réduite. En particulier, garantir que ses deux cousines dont il a la garde ne soient pas placées en famille d'accueil — l'argument qui pèse le plus lourd pour lui.

Monsegur accepte le soir même. Il signe un accord de coopération formel la semaine suivante avec le procureur adjoint du Southern District of New York. À partir de ce moment, chacune de ses activités en ligne est surveillée en temps réel par les agents du FBI Cyber Division. Chaque chat avec d'autres hackers est enregistré. Chaque opération qu'il « coordonne » est validée (ou empêchée discrètement) par ses contrôleurs fédéraux.

10 mois de double jeu

Sa coopération dure 10 mois. Pendant cette période, Sabu continue d'être présent publiquement sous le même pseudonyme, sur les mêmes chats IRC, avec le même ton. Aucun de ses collaborateurs ne soupçonne qu'il a basculé. Plusieurs éléments expliquent cette absence de détection :

  • Monsegur est un interlocuteur brillant, capable de simuler l'enthousiasme pour de nouvelles opérations tout en les neutralisant par des suggestions qui les retardent ou les redirigent vers des cibles moins sensibles
  • Les agents du FBI lui laissent une marge de manœuvre tactique : il peut participer à des opérations réelles tant qu'elles ne causent pas de dommages irréversibles
  • Plusieurs opérations attribuées à AntiSec pendant cette période ont été en réalité conçues par le FBI pour servir de pièges — attirant d'autres hackers à y participer publiquement

Le FBI utilise les conversations de Sabu pour identifier méthodiquement les membres de LulzSec, AntiSec et d'autres sous-groupes. Les identités civiles sont recoupées avec des bases de données d'IP, des enregistrements téléphoniques, des images postées négligemment. Les cibles principales émergent : Jake Davis (Topiary) aux Shetlands, Ryan Ackroyd (Kayla) dans le South Yorkshire, Mustafa Al-Bassam (Tflow) à Londres, Jeremy Hammond à Chicago, et les membres irlandais.

Jeremy Hammond et l'affaire Stratfor

Le cas Jeremy Hammond est le plus douloureux. Hammond est un activiste de Chicago, connu pour ses opérations contre des entreprises privées jugées néfastes. En décembre 2011, il pénètre les serveurs de Stratfor (Strategic Forecasting, Inc.), société privée d'intelligence géopolitique basée à Austin. Le hack révèle des millions d'emails d'analystes discutant d'affaires sensibles — certains avec des implications embarrassantes pour des gouvernements et entreprises.

Dans la réalité, Sabu joue un rôle actif dans la préparation du hack. Il fournit à Hammond une liste de « cibles intéressantes » qui inclut Stratfor, et suggère des techniques d'intrusion. Hammond, qui considère Sabu comme son ami et son mentor idéologique, agit en toute confiance. Ce qu'il ignore : Sabu opère sous contrôle FBI. Le hack Stratfor est orchestré indirectement par le FBI lui-même, qui l'utilise pour (1) identifier les cibles sensibles que Hammond aimerait frapper, (2) documenter précisément son opsec, (3) accumuler les charges fédérales contre lui.

Les données volées à Stratfor sont même uploadées sur un serveur contrôlé par le FBI. Les agents permettent à WikiLeaks d'y accéder (via Hammond et Sabu) pour créer l'archive des « Global Intelligence Files » qui sera publiée par WikiLeaks. L'opération est donc à la fois un acte de hacking documenté par le FBI et le plus gros leak de 2012.

Jeremy Hammond est arrêté le 5 mars 2012. Il plaide coupable en 2013 pour éviter un procès plus coûteux et long, et est condamné le 15 novembre 2013 à 10 ans de prison fédérale — la peine maximale prévue pour son accord. Il a purgé sa peine jusqu'à fin 2020. Pendant sa détention, il a été placé plusieurs fois en isolement et a découvert dans les documents judiciaires le niveau exact de l'implication de Sabu dans la préparation du hack. Son témoignage public sur cette affaire reste l'un des plus accusateurs envers les méthodes d'enquête FBI sur l'activisme.

Le 6 mars 2012 : la révélation

Le 6 mars 2012, le FBI et New Scotland Yard annoncent simultanément l'arrestation de Jake Davis (Topiary), Ryan Ackroyd (Kayla), Donncha O'Cearrbhail (palladium), Darren Martyn (pwnsauce). Le communiqué précise que les arrestations ont été rendues possibles « grâce à un informateur coopératif ». Quelques heures plus tard, le nom d'Hector Monsegur et son pseudo « Sabu » sont confirmés par plusieurs médias (FoxNews en premier, rapidement suivi par Reuters et le New York Times).

La réaction dans la communauté hacker est une onde de choc. Sabu, le leader charismatique, le New-Yorkais anti-système, l'ami des causes latino-américaines — était en réalité sous contrôle fédéral depuis près d'un an. Sur Twitter, l'un des hashtags les plus utilisés dans les jours qui suivent : #EtTuSabu.

Les membres encore libres d'Anonymous et AntiSec entreprennent une purge d'opsec majeure : changement de tous les VPN, abandon de plusieurs chatrooms, refonte complète de la stratégie de communication interne. Plusieurs enquêtes ouvertes par le FBI dans les mois suivants aboutissent à davantage d'arrestations, toutes basées sur les éléments collectés pendant la période Sabu.

Une peine symbolique

Monsegur comparaît devant le juge Loretta Preska du Southern District of New York le 27 mai 2014. L'acte d'accusation initial prévoyait jusqu'à 26 ans d'emprisonnement pour ses activités de hacking. Après négociation du plea agreement et prise en compte de sa coopération exceptionnelle :

  • Peine effective : 7 mois d'emprisonnement (dont la majorité déjà purgée en détention provisoire — il sort de fait après quelques jours supplémentaires)
  • 1 an de liberté surveillée
  • Pas d'interdiction d'usage d'Internet (exceptionnel pour ce type de dossier)

La sentence est perçue comme extraordinairement clémente par rapport aux 10 ans de Jeremy Hammond. Cette disproportion a alimenté les critiques sur le système judiciaire américain et les rapports de force entre activisme et coopération, notamment dans les articles de Glenn Greenwald, Micah Lee et Rebecca MacKinnon.

Sabu consultant en cybersécurité

Après sa libération, Hector Monsegur se reconvertit. Il crée sa propre société de conseil en cybersécurité, travaille comme analyste dans plusieurs start-ups, et intervient publiquement sur les questions de sécurité informatique. Il n'est pas sous programme de protection des témoins officiel : il vit ouvertement sous son vrai nom à New York.

Ses apparitions médiatiques sont régulières depuis 2015. Il a notamment participé à des conférences Black Hat et DEF CON, à des entretiens pour Vice, Motherboard, Wired. Dans ses déclarations publiques, il maintient que sa coopération a été motivée par la protection de ses cousines et qu'il regrette certains aspects (notamment l'affaire Hammond), tout en revendiquant avoir « empêché des dommages pires » qu'il aurait commis sans le contrôle du FBI.

Cette posture reste contestée. Pour une partie de la communauté hacker, Monsegur reste le symbole du traître qui a fait tomber Anonymous. Pour une autre partie, il est un cas tragique d'un homme pris au piège entre sa responsabilité familiale et sa loyauté politique. Pour le FBI, il est simplement l'informateur modèle — brillant, efficace, et bien valorisé.

FAQ sur Sabu et LulzSec

Qui est Hector Monsegur ?
Hector Xavier Monsegur est un hacker américain né en 1983 à New York, d'origine portoricaine, élevé dans le Lower East Side de Manhattan. Autodidacte en informatique, il devient dans les années 2000 une figure du hacktivisme sous le pseudonyme « Sabu ». En 2011, il co-fonde LulzSec, groupe affilié à Anonymous. Arrêté la même année, il coopère secrètement avec le FBI pendant 10 mois avant que sa trahison soit révélée en mars 2012.
Qu'est-ce que LulzSec ?
LulzSec (contraction de « Lulz » et « Security ») est un collectif de hackers actif de mai à juin 2011, issu d'Anonymous. Ses membres principaux (Sabu, Topiary, Kayla, Tflow, Pwnsauce) ont mené des attaques très médiatisées contre Sony, la CIA, la PBS, le FBI, et le gouvernement britannique. Le groupe s'est dissous officiellement en juin 2011, mais ses membres ont continué à opérer au sein d'AntiSec, dirigé en sous-main par Sabu après sa coopération avec le FBI.
Comment Sabu a-t-il été identifié ?
Par une erreur d'opsec. En 2011, Sabu s'est connecté une seule fois à un chat IRC sans activer son VPN anonyme, révélant son adresse IP résidentielle à New York. Cette unique fuite a permis au FBI de remonter jusqu'à son domicile. Il a été arrêté le 7 juin 2011 chez lui dans le Lower East Side, et a accepté immédiatement de coopérer en échange d'une réduction de peine pour lui et d'une garantie que ses enfants (dont il avait la garde) ne seraient pas placés en famille d'accueil.
Combien de temps a duré sa coopération secrète ?
Environ 10 mois, du 7 juin 2011 (arrestation) jusqu'au 6 mars 2012 (révélation publique via l'annonce d'arrestations massives). Pendant cette période, Sabu a continué à opérer publiquement comme leader de LulzSec puis d'AntiSec, tout en communiquant quotidiennement avec ses contrôleurs du FBI. Chaque conversation avec d'autres hackers était enregistrée et utilisée pour identifier, localiser et arrêter les membres du collectif.
Quelles arrestations Sabu a-t-il permises ?
Les principales : Jeremy Hammond (hack Stratfor, condamné à 10 ans), Ryan Ackroyd alias « Kayla » (condamné à 30 mois au Royaume-Uni), Jake Davis alias « Topiary » (24 mois), Darren Martyn alias « pwnsauce » (Irlande), Donncha O'Cearrbhail alias « palladium » (Irlande). Au total, au moins 6 condamnations directes et une vingtaine d'enquêtes collatérales dans plusieurs pays.
Qu'est devenu Hector Monsegur après sa coopération ?
Condamné le 27 mai 2014 à une peine de seulement 7 mois de prison (dont il avait déjà purgé la majorité en détention provisoire), il a été libéré très rapidement. Il est ensuite devenu consultant en cybersécurité, a fondé sa propre entreprise, et apparaît régulièrement dans les médias américains sur les questions cyber. Il vit aujourd'hui à New York sous son nom civil, sans programme de protection des témoins officiel.

Pour aller plus loin

Histoire de Tor depuis 1995 Silk Road : chronologie complète Les 6 meurtres commandés par Ulbricht Dangers du dark web Tor : le réseau expliqué Dark Web : guide complet