Des procureurs fdraux ont rcemment inculp un individu pour un stratagme de hack-to-trade qui lui aurait permis de gagner des millions de dollars. Ce pirate informatique a russi accder aux comptes Office365 de dirigeants dentreprises cotes en bourse, obtenant des rapports financiers trimestriels avant leur publication officielle.
Le pirate informatique ciblait spcifiquement les botes de rception des dirigeants pour obtenir des informations sensibles et non publies. En accdant ces donnes, il pouvait anticiper les mouvements du march et raliser des transactions boursires extrmement lucratives. Ce type de cybercriminalit, connu sous le nom de hack-to-trade , reprsente une menace croissante pour la scurit des informations et lintgrit des marchs financiers.
Des procureurs fdraux ont inculp un homme pour un systme prsum de hack-to-trade qui lui a rapport des millions de dollars en s’introduisant dans les comptes Office365 de cadres de socits cotes en bourse et en obtenant des rapports financiers trimestriels avant qu’ils ne soient rendus publics.
La poursuite, engage par le bureau du procureur du district du New Jersey, accuse Robert B. Westbrook, ressortissant du Royaume-Uni, d’avoir gagn environ 3,75 millions de dollars en 2019 et 2020 grce des transactions boursires qui capitalisaient sur les informations obtenues de manire illicite. Selon les procureurs, aprs avoir accd ces informations, il a effectu des transactions boursires. La notification pralable lui a permis d’agir et de tirer profit des informations avant que le grand public ne puisse le faire. La Securities and Exchange Commission des tats-Unis a dpos une plainte civile distincte contre Westbrook afin qu’il soit condamn payer des amendes civiles et restituer tous les gains mal acquis.
Acheter bas prix, vendre prix fort
La SEC est engage dans des efforts continus pour protger les marchs et les investisseurs des consquences de la cyberfraude , a dclar Jorge G. Tenreiro, chef intrimaire de la Crypto Assets and Cyber Unit de la SEC, dans un communiqu. Comme le montre cette affaire, mme si Westbrook a pris de nombreuses mesures pour dissimuler son identit, notamment en utilisant des comptes de messagerie anonymes, des services VPN et des bitcoins, les analyses de donnes avances, la traabilit des crypto-actifs et la technologie de la Commission peuvent permettre de dcouvrir des fraudes, mme dans des cas impliquant un piratage international sophistiqu.
Un acte d’accusation fdral dpos devant le tribunal de district du New Jersey indique que Westbrook s’est introduit dans les comptes de courrier lectronique de dirigeants de cinq socits cotes en bourse aux tats-Unis. Il a russi pntrer dans ces comptes en abusant du mcanisme de rinitialisation du mot de passe propos par Microsoft pour les comptes Office365. Dans certains cas, Westbrook aurait cr des rgles de transfert qui envoyaient automatiquement tous les courriels entrants une adresse lectronique qu’il contrlait.
Le mode opratoire
Les procureurs ont allgu dans l’un de ces incidents :
Le ou vers le 26 janvier 2019, WESTBROOK a obtenu un accs non autoris au compte de messagerie Office365 du directeur des finances et de la comptabilit de la socit-1 ( Individu- ! ) par le biais d’une rinitialisation non autorise du mot de passe. Au cours de l’intrusion, une rgle de transfert automatique a t mise en uvre, conue pour transfrer automatiquement le contenu du compte de messagerie compromis de l’Individu-1 vers un compte de messagerie contrl par WESTBROOK. Au moment de l’intrusion, le compte de messagerie lectronique compromis de l’Individu 1 contenait des informations non publiques sur les rsultats trimestriels de l’Entreprise 1, qui indiquaient que les ventes de l’Entreprise 1 taient en baisse .
Une fois qu’une personne a obtenu un accs non autoris un compte de messagerie, il est possible de dissimuler la violation en dsactivant ou en supprimant les alertes de rinitialisation de mot de passe et en enfouissant les rgles de rinitialisation de mot de passe dans les paramtres du compte.
Les procureurs n’ont pas prcis comment l’accus avait russi abuser de la fonction de rinitialisation. En gnral, ces mcanismes ncessitent le contrle d’un tlphone portable ou d’un compte de messagerie enregistr appartenant au titulaire du compte. En 2019 et 2020, de nombreux services en ligne permettront galement aux utilisateurs de rinitialiser leurs mots de passe en rpondant des questions de scurit. Cette pratique est encore utilise aujourd’hui, mais elle est lentement tombe en dsutude mesure que les risques ont t mieux compris.
Un avantage injuste
En obtenant des informations importantes, Westbrook tait en mesure de prdire l’volution des actions d’une entreprise une fois qu’elle serait rendue publique. Lorsque les rsultats taient susceptibles de faire baisser le cours des actions, il plaait des options de vente, qui donnent l’acheteur le droit de vendre des actions un prix spcifique dans un dlai donn. Cette pratique permettait Westbrook de profiter de la baisse des actions aprs la publication des rsultats financiers. Lorsque des rsultats positifs taient susceptibles de faire monter le cours des actions, Westbrook aurait achet des actions alors qu’elles taient encore basses et les aurait revendues plus tard un prix plus lev.
Les procureurs ont inculp Westbrook d’un chef d’accusation pour fraude sur titres et fraude lectronique et de cinq chefs d’accusation pour fraude informatique. Le chef d’accusation de fraude sur les titres est passible d’une peine maximale de 20 ans de prison et d’une amende de 5 millions de dollars. Le chef d’accusation de fraude lectronique est passible d’une peine maximale de 20 ans de prison et d’une amende de 250 000 dollars ou du double du gain ou de la perte rsultant de l’infraction, le montant le plus lev tant retenu. Chaque chef d’accusation de fraude informatique est passible d’une peine maximale de cinq ans d’emprisonnement et d’une amende maximale de 250 000 dollars ou du double du gain ou de la perte rsultant de l’infraction, selon le montant le plus lev.
Les consquences
Les consquences de ces actions sont multiples. Non seulement elles compromettent la confidentialit des informations dentreprise, mais elles branlent galement la confiance des investisseurs et du public dans la scurit des systmes de communication utiliss par les entreprises. Les entreprises victimes de ces attaques peuvent subir des pertes financires considrables et voir leur rputation ternie.
Les investisseurs, quant eux, peuvent tre gravement affects par ces manipulations du march. Les transactions bases sur des informations non publies crent une ingalit sur le march, o seuls ceux qui ont accs ces informations peuvent en tirer profit. Cela peut entraner une volatilit accrue des actions et une perte de confiance dans lintgrit des marchs financiers.
Les mesures de scurit
Pour prvenir de telles intrusions, il est crucial que les entreprises renforcent leurs mesures de scurit. Cela inclut lutilisation de lauthentification multifactorielle, la surveillance continue des activits suspectes et la formation des employs aux bonnes pratiques de cyberscurit. Les entreprises doivent galement collaborer avec les autorits pour signaler toute activit suspecte et contribuer lenqute.
Lauthentification multifactorielle (MFA) est lune des mesures les plus efficaces pour protger les comptes contre les accs non autoriss. En exigeant une deuxime forme didentification, comme un code envoy par SMS ou une application dauthentification, les entreprises peuvent ajouter une couche supplmentaire de scurit. De plus, la surveillance continue des activits suspectes permet de dtecter rapidement les tentatives dintrusion et de ragir en consquence.
La formation des employs est galement essentielle. Les cybercriminels utilisent souvent des techniques dingnierie sociale pour tromper les employs et obtenir leurs identifiants de connexion. En sensibilisant les employs aux risques et en leur apprenant reconnatre les tentatives de phishing, les entreprises peuvent rduire considrablement le risque de compromission des comptes.
Conclusion
Cette affaire met en lumire limportance de la cyberscurit dans le monde des affaires modernes. Les entreprises doivent rester vigilantes et proactives pour protger leurs informations sensibles et maintenir la confiance de leurs investisseurs. La collaboration entre les entreprises et les autorits est essentielle pour lutter contre ce type de cybercriminalit et garantir la scurit des marchs financiers.
En fin de compte, la cyberscurit nest pas seulement une question de technologie, mais aussi de culture dentreprise et de vigilance continue. Les entreprises qui investissent dans la formation de leurs employs et la mise en place de mesures de scurit robustes seront mieux prpares faire face aux menaces croissantes de la cybercriminalit.
Sources : SEC, ministre de la justice, communiqu du bureau du procureur des tats-Unis
Et vous ?
Quelles mesures de scurit utilisez-vous pour protger vos informations sensibles en ligne ?
Pensez-vous que les entreprises investissent suffisamment dans la cyberscurit ? Pourquoi ou pourquoi pas ?
Comment les entreprises peuvent-elles mieux sensibiliser leurs employs aux risques de cyberscurit ?
Selon vous, quelles devraient tre les sanctions pour les cybercriminels qui sattaquent aux entreprises ?
Avez-vous dj t victime dun piratage ou dune tentative de piratage ? Comment avez-vous ragi ?
Quel rle les gouvernements devraient-ils jouer dans la protection des entreprises contre les cyberattaques ?
Comment les entreprises peuvent-elles quilibrer la scurit et la confidentialit des donnes avec la facilit daccs pour leurs employs ?
Pensez-vous que les technologies actuelles sont suffisantes pour prvenir ce type de cybercriminalit, ou faut-il innover davantage ?
Quels sont, selon vous, les secteurs les plus vulnrables aux cyberattaques et pourquoi ?