Par Gérard Haas et et Aurélie Puig
Le constat du 10 octobre 2019 de l’Autorité des Marchés Financiers est sans appel [1]: la cybercriminalité représente une des formes de criminalité les plus coûteuses. Le secteur financier et la bourse n’échappent pas à cette menace.
L’année dernière, Wall Street a subi l’un de ses plus retentissants piratages : trois hackers ont volé des millions de données personnelles d’actionnaires de sociétés cotées.
Le plan était d’acheter des actions à faible coût, puis de les revendre au prix fort aux américains auxquels ils avaient volé les coordonnées, en usant d’arguments mensongers.
Ce type d’opérations « pump and dump » sont des arnaques qui viennent s’ajouter à la liste des cyberattaques.
Le chantage à la donnée en est une autre : afin de ne pas divulguer des informations qu’ils auraient subtilisé, ou afin de permettre de lire à nouveau des informations qu’ils auraient crypté, les pirates utilisent des plateformes de cryptomonnaie pour faire payer en bitcoin les rançons de leurs victimes.
Dans ce contexte dans lequel la cybercriminalité boursière est facilitée par l’expansion des nouvelles technologies, quel est le mode opératoire de ces génies de l’informatique ?
Le cyber-manquement d’initié consiste à pirater les systèmes informatiques de sociétés cotées, ou de tout autre acteur opportun, afin d’obtenir des informations privilégiées.
Une « information privilégiée [2]» est une information précise qui n’a pas été rendue publique. Elle concerne des émetteurs ou des instruments financiers et, si elle était rendue publique, serait susceptible d’influencer le cours de la bourse.
Ce sont, par exemple, les informations concernant une opération de fusion/acquisition, ou une autorisation de mise sur le marché d’un médicament etc.
La mission du cybercriminel sera donc d’hacker le système informatique d’une société cotée, afin de subtiliser les données confidentielles intéressantes.
Ces informations privilégiées peuvent soit être revendues sur le dark web (via les plateformes « Kick Ass Market Place » ou « The Stock insiders »), soit être utilisées par le pirate afin d’acheter des actions de la société cible. En effet, une fois qu’il aura rendu publique l’information, le cours de l’action grimpera, entrainant alors une plus-value de ses actions préalablement achetées.
La technique couramment utilisée selon l’étude de l’AMF, est basée sur le phishing (hameçonnage) afin de récupérer le login et le mot de passe des boites mails des dirigeants de sociétés[3], et ainsi, d’accéder à l’information privilégiée.
En septembre 2015, ce sont deux gros cabinets d’avocats new-yorkais qui ont fait les frais d’un cyber-manquement d’initié. Les hackers ont réussi à télécharger un malware sur les serveurs, leur permettant de récupérer les logins « administrateur ». Dès lors, ils ont eu accès aux messageries des avocats et aux informations confidentielles relatives à une future opération de fusion-acquisition.
Définie à l’article L.465-3-2 du Code Monétaire et Financier, elle consiste à diffuser des « fake news » financières. Les pirates créent à ce titre de faux sites internet où ils diffusent de fausses rumeurs, qui sont alors partagées sur les réseaux sociaux et influencent le cours d’une société cotée.
Faire courir de fausses nouvelles pour manipuler la bourse est une pratique ancienne : Napoléon avait été annoncé comme mort à la bourse de Londres, et cela avait augmenté le cours des actions anglaises, ce qui permit aux spéculateurs de les revendre à très bon prix.
Mais les motivations des cybercriminels dans ce type d’attaque peu sophistiquée sont souvent « activistes ». Les pirates visent les symboles du capitalisme financier afin de ruiner leur réputation et de faire passer un message à l’opinion publique.
Les nouvelles technologies, les réseaux sociaux etc. sont aujourd’hui au service des cybercriminels : reléguer une fausse information n’a jamais été aussi facile et rapide.
Ce fut le cas dans l’affaire Vinci. Un faux communiqué de presse avait été publié, celui-ci indiquait la découverte de fraude comptable au sein de la société. Une dizaine de minutes après la publication, le cours de l’action avait chuté de 19%, d’après les chiffres de l’AMF.
Si pour l’instant les fausses informations sont relayées sur twitter, et autres réseaux sociaux, quid de la perspective de diffusion par « deep fake » (vidéos falsifiées permettant de mettre en scène un individu) ? Cela aggravera la propagation des fausses rumeurs et leur crédibilité.
La manipulation des cours est définie par le Code Monétaire Financier dans son article L465-3-1.
C’est le fait, pour une personne, de réaliser une opération qui donne des indications trompeuses sur l’offre/ la demande/ le cours d’un instrument financier. C’est aussi l’opération qui fixe à un niveau anormal ou artificiel le cours d'un instrument financier, ou encore l’opération qui affecte le cours d'un instrument financier, en ayant recours à des procédés fictifs ou à toute autre forme de tromperie ou d'artifice.
Par exemple, il est possible de faire monter artificiellement le cours d’une action en achetant massivement l’action, à un prix de plus en plus élevé. C’est la phase de « pump ». Ensuite, la stratégie des pirates est de revendre les actions, dont le cours a augmenté. C’est la phase de « dump ».
Ainsi, la cybercriminalité boursière s’articule autour de ces trois manquements et devient de plus en plus attractive avec l’émergence des nouvelles technologies. L’étude de l’AMF se termine en soulignant l’importance croissante des risques de nature cyber.
***
Victime d’une attaque cybercriminelle ? Spécialisé en cyber-sécurité, le cabinet HAAS Avocats vous accompagne dans vos démarches et procédures contentieuses. Pour en savoir plus, cliquez ici.
[1] AMF : Etude publiée le 10 octobre 2019 sur la cybercriminalité boursière : définition, cas et perspectives
[2] Règlement européen n°596/2014, article 7
[3] Piratage du Groupe FIN4 « Hacking the street, FIN4 likely playing the street” du rapport 2014 de FiereEye, repris dans l’étude du 16 octobre 2019 de l’AMF