Veni vidi Vinci le vingt deux novembre …

… ou l’art et la manière de créer un effondrement éclair des cours de bourse sans faire appel aux nouvelles technologies.

Il n’a pas été nécessaire de casser des codes compliqués, d’introduire des malwares spécifiques, d’utiliser des botnets ou de faire des dénis de services pour influer les salles de marché. Pas besoin de s’introduire dans le système d’information. Non, Internet et les nouvelles technologies n’ont pas été sollicités au delà des services de messagerie ou de vitrine web.

La méthode, utilisée à l’encontre de Vinci mardi dernier, consiste à diffuser une fausse nouvelle et de laisser faire les choses. Pour cela, il suffit d’un mail adressé aux médias du milieu boursier ressemblant à ceux de la maison mère, se référant à un site Internet ayant le look de la maison mère dont le nom évoque la maison mère et un correspondant pour confirmation au nom connu de la maison mère mais avec un faux numéro de téléphone.

Pour que le contenu soit un hameçon efficace, il faut quelque chose de gros. Plus c’est gros plus les chances d’anesthésier la suspicion sont élevées. Donc plus de trois milliards d’euros de pertes liées à un détournement sont annoncées, ce qui est bien entendu confirmé par le comparse répondant au téléphone et par la consultation du faux site. Il faut également bien choisir son moment, une heure avant la clôture.

Bien sûr, tous ne tombent pas dans le panneau. Il suffit d’un média ou deux, puis de laisser faire les marchés avec comme amplificateur les algorithmes de trading éventuellement à haute fréquence. La valeur de l’action chute brutalement, près de vingt pour cent dans notre cas, avant un arrêt de cotation. Ce ne sont pas loin de sept milliards d’euros qui se sont vaporisés en dix minutes. Probable volonté des attaquants d’encadrer les horaires, un démenti tout aussi faux est publié un peu plus tard.

En moins d’une demi-heure, tout était rentré dans l’ordre. Enfin presque, puisque non seulement la valeur « d’avant » n’a pas été retrouvée mais également parce que ces quelques minutes où les actions nageaient à vil prix ont pu être mises à profit respecter le sacro saint principe de tout bon trader : acheter bas et vendre haut !

Ne croyez pas que la méthode soit originale. Whitehaven Coal et Fitbit en 2013, G4S en 2014, Avon en 2015 par exemple en ont déjà fait les frais. Il semblerait en outre que très régulièrement les cotations outre atlantique subissent des « flash crashs » d’ampleur limitée mais d’origine mal identifiée : effet de bord du high frequency trading ou malveillance ?

Quoiqu’il en soit, de tout temps il y a eu des mises en garde contre des démarcheurs qui présentent de fausses cartes professionnelles ou contre les mails d’hameçonnage contenant des liens à consonance familière sur lesquels il ne faut surtout pas cliquer. Dans ce cas précis quelqu’un d’averti des méfaits de l’hameçonnage aurait été méfiant et se serait connecté directement au site sans utiliser le lien fourni dans le message.

La puce aurait néanmoins pu monter à l’oreille de quelqu’un du métier car il est totalement inusité voire interdit de faire ce type d’annonce en cours de cotation. Ce côté insolite a fait que seuls quelques médias ont donné suite à la provocation.

L’autorité des marchés financiers peut a priori partir de deux pistes pour son enquête : les traces laissées lors de l’achat du nom de domaine « vinci.group » qui a eu lieu dans les semaines précédentes et les mouvements sur le marché lors de l’effondrement.

Nous voilà donc face à un superbe virage : il n’y a plus besoin de cyber technique pour réaliser des détournements et les cyber protections sont bien peu efficaces face à l’excitation qui endort notre sens critiques. Nous sommes loin de la construction de botnets à partir de lacunes dans les protocoles des IoT !

 

 

 


< Revenir à la newsletter

Auteur: 
Novembre 2016 - Jacques Baudron - jacques.baudron @ ixtel.fr

Ajouter un commentaire

Full HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Vous pouvez utiliser du code PHP. Vous devrez inclure les tags <?php ?>.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Filtered HTML

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.