Un cybercriminel amasse des millions $ en piratant les emails Office365 de dirigeants d'entreprises cotées en bourse

Obtenant des informations sensibles non publiées pour réaliser des transactions lucratives

Un cybercriminel amasse des millions en piratant les boîtes de réception Office365 de dirigeants d'entreprises cotées en bourse,
obtenant des informations sensibles non publiées et réalisant des transactions lucratives

Des procureurs fédéraux ont récemment inculpé un individu pour un stratagème de « hack-to-trade » qui lui aurait permis de gagner des millions de dollars. Ce pirate informatique a réussi à accéder aux comptes Office365 de dirigeants d’entreprises cotées en bourse, obtenant des rapports financiers trimestriels avant leur publication officielle.

Le pirate informatique ciblait spécifiquement les boîtes de réception des dirigeants pour obtenir des informations sensibles et non publiées. En accédant à ces données, il pouvait anticiper les mouvements du marché et réaliser des transactions boursières extrêmement lucratives. Ce type de cybercriminalité, connu sous le nom de « hack-to-trade », représente une menace croissante pour la sécurité des informations et l’intégrité des marchés financiers.

Des procureurs fédéraux ont inculpé un homme pour un système présumé de « hack-to-trade » qui lui a rapporté des millions de dollars en s'introduisant dans les comptes Office365 de cadres de sociétés cotées en bourse et en obtenant des rapports financiers trimestriels avant qu'ils ne soient rendus publics.

La poursuite, engagée par le bureau du procureur du district du New Jersey, accuse Robert B. Westbrook, ressortissant du Royaume-Uni, d'avoir gagné environ 3,75 millions de dollars en 2019 et 2020 grâce à des transactions boursières qui capitalisaient sur les informations obtenues de manière illicite. Selon les procureurs, après avoir accédé à ces informations, il a effectué des transactions boursières. La notification préalable lui a permis d'agir et de tirer profit des informations avant que le grand public ne puisse le faire. La Securities and Exchange Commission des États-Unis a déposé une plainte civile distincte contre Westbrook afin qu'il soit condamné à payer des amendes civiles et à restituer tous les gains mal acquis.

Acheter à bas prix, vendre à prix fort

« La SEC est engagée dans des efforts continus pour protéger les marchés et les investisseurs des conséquences de la cyberfraude », a déclaré Jorge G. Tenreiro, chef intérimaire de la Crypto Assets and Cyber Unit de la SEC, dans un communiqué. « Comme le montre cette affaire, même si Westbrook a pris de nombreuses mesures pour dissimuler son identité, notamment en utilisant des comptes de messagerie anonymes, des services VPN et des bitcoins, les analyses de données avancées, la traçabilité des crypto-actifs et la technologie de la Commission peuvent permettre de découvrir des fraudes, même dans des cas impliquant un piratage international sophistiqué. »

Un acte d'accusation fédéral déposé devant le tribunal de district du New Jersey indique que Westbrook s'est introduit dans les comptes de courrier électronique de dirigeants de cinq sociétés cotées en bourse aux États-Unis. Il a réussi à pénétrer dans ces comptes en abusant du mécanisme de réinitialisation du mot de passe proposé par Microsoft pour les comptes Office365. Dans certains cas, Westbrook aurait créé des règles de transfert qui envoyaient automatiquement tous les courriels entrants à une adresse électronique qu'il contrôlait.


Le mode opératoire

Les procureurs ont allégué dans l'un de ces incidents :

« Le ou vers le 26 janvier 2019, WESTBROOK a obtenu un accès non autorisé au compte de messagerie Office365 du directeur des finances et de la comptabilité de la société-1 (« Individu- ! ») par le biais d'une réinitialisation non autorisée du mot de passe. Au cours de l'intrusion, une règle de transfert automatique a été mise en œuvre, conçue pour transférer automatiquement le contenu du compte de messagerie compromis de l'Individu-1 vers un compte de messagerie contrôlé par WESTBROOK. Au moment de l'intrusion, le compte de messagerie électronique compromis de l'Individu 1 contenait des informations non publiques sur les résultats trimestriels de l'Entreprise 1, qui indiquaient que les ventes de l'Entreprise 1 étaient en baisse ».

Une fois qu'une personne a obtenu un accès non autorisé à un compte de messagerie, il est possible de dissimuler la violation en désactivant ou en supprimant les alertes de réinitialisation de mot de passe et en enfouissant les règles de réinitialisation de mot de passe dans les paramètres du compte.

Les procureurs n'ont pas précisé comment l'accusé avait réussi à abuser de la fonction de réinitialisation. En général, ces mécanismes nécessitent le contrôle d'un téléphone portable ou d'un compte de messagerie enregistré appartenant au titulaire du compte. En 2019 et 2020, de nombreux services en ligne permettront également aux utilisateurs de réinitialiser leurs mots de passe en répondant à des questions de sécurité. Cette pratique est encore utilisée aujourd'hui, mais elle est lentement tombée en désuétude à mesure que les risques ont été mieux compris.

Un avantage injuste

En obtenant des informations importantes, Westbrook était en mesure de prédire l'évolution des actions d'une entreprise une fois qu'elle serait rendue publique. Lorsque les résultats étaient susceptibles de faire baisser le cours des actions, il plaçait des options de vente, qui donnent à l'acheteur le droit de vendre des actions à un prix spécifique dans un délai donné. Cette pratique permettait à Westbrook de profiter de la baisse des actions après la publication des résultats financiers. Lorsque des résultats positifs étaient susceptibles de faire monter le cours des actions, Westbrook aurait acheté des actions alors qu'elles étaient encore basses et les aurait revendues plus tard à un prix plus élevé.

Les procureurs ont inculpé Westbrook d'un chef d'accusation pour fraude sur titres et fraude électronique et de cinq chefs d'accusation pour fraude informatique. Le chef d'accusation de fraude sur les titres est passible d'une peine maximale de 20 ans de prison et d'une amende de 5 millions de dollars. Le chef d'accusation de fraude électronique est passible d'une peine maximale de 20 ans de prison et d'une amende de 250 000 dollars ou du double du gain ou de la perte résultant de l'infraction, le montant le plus élevé étant retenu. Chaque chef d'accusation de fraude informatique est passible d'une peine maximale de cinq ans d'emprisonnement et d'une amende maximale de 250 000 dollars ou du double du gain ou de la perte résultant de l'infraction, selon le montant le plus élevé.

Les conséquences

Les conséquences de ces actions sont multiples. Non seulement elles compromettent la confidentialité des informations d’entreprise, mais elles ébranlent également la confiance des investisseurs et du public dans la sécurité des systèmes de communication utilisés par les entreprises. Les entreprises victimes de ces attaques peuvent subir des pertes financières considérables et voir leur réputation ternie.

Les investisseurs, quant à eux, peuvent être gravement affectés par ces manipulations du marché. Les transactions basées sur des informations non publiées créent une inégalité sur le marché, où seuls ceux qui ont accès à ces informations peuvent en tirer profit. Cela peut entraîner une volatilité accrue des actions et une perte de confiance dans l’intégrité des marchés financiers.

Les mesures de sécurité

Pour prévenir de telles intrusions, il est crucial que les entreprises renforcent leurs mesures de sécurité. Cela inclut l’utilisation de l’authentification multifactorielle, la...