Délit d'initié

On pourrait dire, à lire cette étude, que le délit d'initié est de moins en moins réservé aux initiés : lors d'un fusion-acquisition, explique par exemple l'AMF, toute une chaîne d'acteurs se met en place pour la réaliser. Chaque acteur, banque-conseil, cabinet d'avocats ou cabinet comptable, consultants, le régulateur, les diffuseurs d'informations financières, les agences de relations publiques et même des bureaux de traductions sont autant de portes d'entrée supplémentaire, pendant l'opération, pour un hacker qui peut se procurer des informations privilégiées sur la fusion/acquisition. Plusieurs cas concrets sont cités par l'étude où chaque fois un acteur différent a pu être pénétré avec succès. Le phishing reste la manière la plus simple et la plus efficace de pénétrer le maillon faible car il y en a souvent un dans cette longue chaîne. Les diffuseurs d'informations sont par exemple vulnérables puisque on peut y placer des annonces à l'avance avec une date d'embargo. L'AMF mentionne que des fuites de données antérieures, même des années avant, peuvent être exploitées plus tard pour du spearphising (phishing personnalisé) particulièrement efficace : le mail mentionne des informations si « historiques » qu'on a de la peine à croire qu'elles ne sont pas légitimes. Ce phishing peut aussi prendre la forme d'un mail venant d'un des acteurs impliqués dans l'opération de fusion-acquisition à un autre acteur dont on a toutes les raisons de croire qu'ils sont légitimes car qui d'autre est au courant, se dira-t-on. L'AMF met aussi en garde contre les nouveaux comportements numériques des entreprises, comme l'utilisation d'Office 365, l'usage du cloud ou l'utilisation d'objets connectés liés au laptop sur lequel on travaille. Sans familiarité avec ces nouveaux usages, des comportements dangereux, involontaires et exploitables se développeront.

Manipulations de cours

Les manipulations de cours ont, elles, lieu par la prise de contrôle de comptes de traders de particuliers, même en petit nombre, pour donner des tendances au marché via un comportement coordonné de ces comptes piratés, comprend-t-on, sur des actions peu liquides ou des penny stocks dont les cours peuvent varier rapidement avec quelques dizaines d'acheteurs. C'est la technique du pump & dump. En Asie, les autorités ont même peur des activités de trading qui vont se faire de plus en plus sur des interfaces non dédiées comme les messageries instantanées ou les réseaux sociaux. L'AMF met en avant le problème de la sécurisation, plus vaste qu'imaginé, des applications de comptes de trading des acteurs non bancaires. Ce sont surtout les applications de trading mobile qui sont peu sécurisées (certaines données envoyées au serveur ne sont même pas chiffrées a repéré une étude).

Enfin, il y a aussi le risque futur de manipulation des cours via un piratage des algorithmes de trading qui occupent déjà 50 % à 80 % des échanges quotidiens sur certaines classes d'actifs. Il y a aussi le risque de manipulations d'algorithmes d'intelligence artificielle via des données volontairement erronées et orientées au profit de certains.

Fausses informations

La diffusion de fausses informations est sans doute l'attaque le plus facile à mettre en œuvre : elle nécessite peu de moyens et est facilement anonyme (utilisation d'un wifi public, du réseau TOR...) et ce d'autant plus que l'enregistrement de noms de domaine et l'hébergement de sites inernet qui servent à diffuser l'information ne brillent pas, rappelle l'AMF, par leurs précautions quant à celui qui les ouvre (sans compter la durée de conservation de ces informations qui est faible). Quand il y a une enquête, elle aboutit le plus souvent en regardant plutôt les transactions boursières que laissent les criminels qui ont diffusé les fausses informations et qui veulent en tirer bénéfice (quid alors quand ce sont des activistes qui ont lancé les rumeurs, sans appât du gain). Les enquêtes sont internationales par nature, ce qui les complique puisque, selon le pays, les pouvoirs d'investigation des autorités ou des régulateurs sont différents. Seuls les coupe-circuit des Bourses permettent de limiter les mouvements trop importants en capitalisation boursière qui en résultent.

Pour l'AMF, la chaîne de diffusion des informations financières doit être sérieusement revue et contrôlée (au sens, comprend-t-on, de l'assurance-qualité) : il y a tellement d'intervenants qu'on n'en arrive à ne plus savoir qui est habilité à diffuser une information correcte et quand. Il faudrait clarifier le canal officiel de diffusion de l'information financière et renforcer la sensibilisation des agences de presse pour éviter le piratage en amont (réception d'un faux communiqué de presse considéré à tort comme vrai) ou en aval (diffusion d'un faux communiqué injecté dans les systèmes d'information même de l'agence de presse). De ce point de vue, Twitter tient le pompon. L'AMF relève à juste titre combien les gens sur des réseaux comme Twitter ont tendance à plus vite relayer du faux sensationnaliste que du vrai. Il y a, en plus, dit l'AMF, des algorithmes spécifiques qui collectent le contenu circulant sur les médias sociaux pour pouvoir réagir très vite en cas d'information cruciale. Ces algorithmes de lecture automatisée sont sensibles aux fausses informations plus que les humains, le filtrage par ces derniers reste essentiel.

L'AMF remarque enfin qu'il existe, au-delà de la diffusion de fausses informations directement liées à une société pour en influencer le cours de Bourse, quantité d'autres voies pour arriver à ces mêmes fins. Et de citer tous les indicateurs qui influencent la Bourse comme les indices de matières premières, la confiance des ménages MCSI (calculé par l'université de Michigan puis transmis à Thomson Reuters), les conditions météorologiques... Enfin, les deepfakes représentent le défi le plus aigu : comment distinguer un deepfake du président de la FED qui fait une annonce sur les taux.

Les coûts

L'AMF se penche aussi sur les coûts de la cybercriminalité boursière. Le FMI, explique-t-elle, estime que 90 % des coûts d'une cyberattaque sont de nature indirecte dont 75 % liés au départ de clients suite à la perte de réputation. La perte d'information stratégique et la reconstruction d'un nouveau système de production sont les deux autres composantes principales des coûts indirects. Les coûts directs, comme ceux liés à l'investigation forensique, à l'aide juridique, à la remédiation et l'amélioration des systèmes touchés, à l'assistance aux clients, à la perte éventuelle de revenu court terme sont peut-être facilement quantifiables mais ils ne représentent pas la majeure proportion des coûts.

Autre facteur tangible : la chute du cours en Bourse des sociétés cotées. Elle oscille entre 1% et 5% dès la divulgation de l'attaque. Les sociétés qui annoncent elles-mêmes une cyberattaque subissent une chute de leur cours plus petite par rapport à une divulgation qui ne vient pas d'elle. Etre pris sur le fait n'est pas une bonne chose, la morale est presque sauve (vive le RGPD !). Enfin, il faut attendre 45 jours pour que le cours récupère son niveau initial.

Si on a très peu de recul en termes de données historiques, l'obligation de rapporter des attaques avec toute une série de réglementations qui arrive, sanctions financières à la clé, la souscription aux cyber-assurances va permettre d'avoir des données fiables dans les années à venir et mettre fin à l'à peu près dans les estimations de l'impact des cyberattaques.

Comme le mentionne l'AMF, une autre étude plus générale devra être réalisée dans le contexte des ICO et des cryptomonnaies. On pourrait aussi y ajouter le sujet du blanchiment d'argent qui n'a pas été examiné.

_________

Pour en savoir plus :

"La cybercriminalité boursière, définition, cas et perspectives", AMF, Alexandre Neyret, octobre 2019.