ANALYSE. L’autorité des marchés financiers (AMF) a fait part d’une intéressante étude prospective sur la manière dont elle perçoit l’évolution en mode cyber des trois principales infractions boursières qu’elle poursuit : le délit d’initié, la manipulation de cours et la diffusion de fausse information. Par Jean-Jacques Quisquater, Université de Louvain, et Charles Cuvelliez, Université de Bruxelles.
Délit d’initié
On pourrait dire, à lire cette étude, que le délit d’initié est de moins en moins réservé aux initiés : lors d’un fusion-acquisition, explique par exemple l’AMF, toute une chaîne d’acteurs se met en place pour la réaliser. Chaque acteur, banque-conseil, cabinet d’avocats ou cabinet comptable, consultants, le régulateur, les diffuseurs d’informations financières, les agences de relations publiques et même des bureaux de traductions sont autant de portes d’entrée supplémentaire, pendant l’opération, pour un hacker qui peut se procurer des informations privilégiées sur la fusion/acquisition. Plusieurs cas concrets sont cités par l’étude où chaque fois un acteur différent a pu être pénétré avec succès. Le phishing reste la manière la plus simple et la plus efficace de pénétrer le maillon faible car il y en a souvent un dans cette longue chaîne.
[…]
Manipulations de cours
Les manipulations de cours ont, elles, lieu par la prise de contrôle de comptes de traders de particuliers, même en petit nombre, pour donner des tendances au marché via un comportement coordonné de ces comptes piratés, comprend-t-on, sur des actions peu liquides ou des penny stocks dont les cours peuvent varier rapidement avec quelques dizaines d’acheteurs. C’est la technique du pump & dump. En Asie, les autorités ont même peur des activités de trading qui vont se faire de plus en plus sur des interfaces non dédiées comme les messageries instantanées ou les réseaux sociaux. L’AMF met en avant le problème de la sécurisation, plus vaste qu’imaginé, des applications de comptes de trading des acteurs non bancaires. Ce sont surtout les applications de trading mobile qui sont peu sécurisées (certaines données envoyées au serveur ne sont même pas chiffrées a repéré une étude).
Enfin, il y a aussi le risque futur de manipulation des cours via un piratage des algorithmes de trading qui occupent déjà 50 % à 80 % des échanges quotidiens sur certaines classes d’actifs. Il y a aussi le risque de manipulations d’algorithmes d’intelligence artificielle via des données volontairement erronées et orientées au profit de certains.
Fausses informations
La diffusion de fausses informations est sans doute l’attaque le plus facile à mettre en œuvre : elle nécessite peu de moyens et est facilement anonyme (utilisation d’un wifi public, du réseau TOR...) et ce d’autant plus que l’enregistrement de noms de domaine et l’hébergement de sites inernet qui servent à diffuser l’information ne brillent pas, rappelle l’AMF, par leurs précautions quant à celui qui les ouvre (sans compter la durée de conservation de ces informations qui est faible). Quand il y a une enquête, elle aboutit le plus souvent en regardant plutôt les transactions boursières que laissent les criminels qui ont diffusé les fausses informations et qui veulent en tirer bénéfice (quid alors quand ce sont des activistes qui ont lancé les rumeurs, sans appât du gain). Les enquêtes sont internationales par nature, ce qui les complique puisque, selon le pays, les pouvoirs d’investigation des autorités ou des régulateurs sont différents. Seuls les coupe-circuit des Bourses permettent de limiter les mouvements trop importants en capitalisation boursière qui en résultent.
Pour l’AMF, la chaîne de diffusion des informations financières doit être sérieusement revue et contrôlée (au sens, comprend-t-on, de l’assurance-qualité) : il y a tellement d’intervenants qu’on n’en arrive à ne plus savoir qui est habilité à diffuser une information correcte et quand. Il faudrait clarifier le canal officiel de diffusion de l’information financière et renforcer la sensibilisation des agences de presse pour éviter le piratage en amont (réception d’un faux communiqué de presse considéré à tort comme vrai) ou en aval (diffusion d’un faux communiqué injecté dans les systèmes d’information même de l’agence de presse). De ce point de vue, Twitter tient le pompon. L’AMF relève à juste titre combien les gens sur des réseaux comme Twitter ont tendance à plus vite relayer du faux sensationnaliste que du vrai. Il y a, en plus, dit l’AMF, des algorithmes spécifiques qui collectent le contenu circulant sur les médias sociaux pour pouvoir réagir très vite en cas d’information cruciale. Ces algorithmes de lecture automatisée sont sensibles aux fausses informations plus que les humains, le filtrage par ces derniers reste essentiel.
L’AMF remarque enfin qu’il existe, au-delà de la diffusion de fausses informations directement liées à une société pour en influencer le cours de Bourse, quantité d’autres voies pour arriver à ces mêmes fins. Et de citer tous les indicateurs qui influencent la Bourse comme les indices de matières premières, la confiance des ménages MCSI (calculé par l’université de Michigan puis transmis à Thomson Reuters), les conditions météorologiques... Enfin, les deepfakes représentent le défi le plus aigu : comment distinguer un deepfake du président de la FED qui fait une annonce sur les taux.