Des procureurs fédéraux ont récemment inculpé un individu pour un stratagème de « hack-to-trade » qui lui aurait permis de gagner des millions de dollars. Ce pirate informatique a réussi à accéder aux comptes Office365 de dirigeants d’entreprises cotées en bourse, obtenant des rapports financiers trimestriels avant leur publication officielle. Le pirate informatique ciblait spécifiquement les boîtes de réception des dirigeants pour obtenir des informations sensibles et non publiées. En accédant à ces données, il pouvait anticiper les mouvements du marché et réaliser des transactions boursières extrêmement lucratives. Ce type de cybercriminalité, connu sous le nom de « hack-to-trade », représente une menace croissante pour la sécurité des informations et l’intégrité des marchés financiers.
Des procureurs fédéraux ont inculpé un homme pour un système présumé de « hack-to-trade » qui lui a rapporté des millions de dollars en s'introduisant dans les comptes Office365 de cadres de sociétés cotées en bourse et en obtenant des rapports financiers trimestriels avant qu'ils ne soient rendus publics.
La poursuite, engagée par le bureau du procureur du district du New Jersey, accuse Robert B. Westbrook, ressortissant du Royaume-Uni, d'avoir gagné environ 3,75 millions de dollars en 2019 et 2020 grâce à des transactions boursières qui capitalisaient sur les informations obtenues de manière illicite. Selon les procureurs, après avoir accédé à ces informations, il a effectué des transactions boursières. La notification préalable lui a permis d'agir et de tirer profit des informations avant que le grand public ne puisse le faire. La Securities and Exchange Commission des États-Unis a déposé une plainte civile distincte contre Westbrook afin qu'il soit condamné à payer des amendes civiles et à restituer tous les gains mal acquis.
Acheter à bas prix, vendre à prix fort
« La SEC est engagée dans des efforts continus pour protéger les marchés et les investisseurs des conséquences de la cyberfraude », a déclaré Jorge G. Tenreiro, chef intérimaire de la Crypto Assets and Cyber Unit de la SEC, dans un communiqué. « Comme le montre cette affaire, même si Westbrook a pris de nombreuses mesures pour dissimuler son identité, notamment en utilisant des comptes de messagerie anonymes, des services VPN et des bitcoins, les analyses de données avancées, la traçabilité des crypto-actifs et la technologie de la Commission peuvent permettre de découvrir des fraudes, même dans des cas impliquant un piratage international sophistiqué. »
Un acte d'accusation fédéral déposé devant le tribunal de district du New Jersey indique que Westbrook s'est introduit dans les comptes de courrier électronique de dirigeants de cinq sociétés cotées en bourse aux États-Unis. Il a réussi à pénétrer dans ces comptes en abusant du mécanisme de réinitialisation du mot de passe proposé par Microsoft pour les comptes Office365. Dans certains cas, Westbrook aurait créé des règles de transfert qui envoyaient automatiquement tous les courriels entrants à une adresse électronique qu'il contrôlait.
Le mode opératoire
Les procureurs ont allégué dans l'un de ces incidents :
« Le ou vers le 26 janvier 2019, WESTBROOK a obtenu un accès non autorisé au compte de messagerie Office365 du directeur des finances et de la comptabilité de la société-1 (« Individu- ! ») par le biais d'une réinitialisation non autorisée du mot de passe. Au cours de l'intrusion, une règle de transfert automatique a été mise en œuvre, conçue pour transférer automatiquement le contenu du compte de messagerie compromis de l'Individu-1 vers un compte de messagerie contrôlé par WESTBROOK. Au moment de l'intrusion, le compte de messagerie électronique compromis de l'Individu 1 contenait des informations non publiques sur les résultats trimestriels de l'Entreprise 1, qui indiquaient que les ventes de l'Entreprise 1 étaient en baisse ».
Une fois qu'une personne a obtenu un accès non autorisé à un compte de messagerie, il est possible de dissimuler la violation en désactivant ou en supprimant les alertes de réinitialisation de mot de passe et en enfouissant les règles de réinitialisation de mot de passe dans les paramètres du compte.
Les procureurs n'ont pas précisé comment l'accusé avait réussi à abuser de la fonction de réinitialisation. En général, ces mécanismes nécessitent le contrôle d'un téléphone portable ou d'un compte de messagerie enregistré appartenant au titulaire du compte. En 2019 et 2020, de nombreux services en ligne permettront également aux utilisateurs de réinitialiser leurs mots de passe en répondant à des questions de sécurité. Cette pratique est encore utilisée aujourd'hui, mais elle est lentement tombée en désuétude à mesure que les risques ont été mieux compris.
Un avantage injuste
En obtenant des informations importantes, Westbrook était en mesure de prédire l'évolution des actions d'une entreprise une fois qu'elle serait rendue publique. Lorsque les résultats étaient susceptibles de faire baisser le cours des actions, il plaçait des options de vente, qui donnent à l'acheteur le droit de vendre des actions à un prix spécifique dans un délai donné. Cette pratique permettait à Westbrook de profiter de la baisse des actions après la publication des résultats financiers. Lorsque des résultats positifs étaient susceptibles de faire monter le cours des actions, Westbrook aurait acheté des actions alors qu'elles étaient encore basses et les aurait revendues plus tard à un prix plus élevé.
Les procureurs ont inculpé Westbrook d'un chef d'accusation pour fraude sur titres et fraude électronique et de cinq chefs d'accusation pour fraude informatique. Le chef d'accusation de fraude sur les titres est passible d'une peine maximale de 20 ans de prison et d'une amende de 5 millions de dollars. Le chef d'accusation de fraude électronique est passible d'une peine maximale de 20 ans de prison et d'une amende de 250 000 dollars ou du double du gain ou de la perte résultant de l'infraction, le montant le plus élevé étant retenu. Chaque chef d'accusation de fraude informatique est passible d'une peine maximale de cinq ans d'emprisonnement et d'une amende maximale de 250 000 dollars ou du double du gain ou de la perte résultant de l'infraction, selon le montant le plus élevé.
Les conséquences
Les conséquences de ces actions sont multiples. Non seulement elles compromettent la confidentialité des informations d’entreprise, mais elles ébranlent également la confiance des investisseurs et du public dans la sécurité des systèmes de communication utilisés par les entreprises. Les entreprises victimes de ces attaques peuvent subir des pertes financières considérables et voir leur réputation ternie.
Les investisseurs, quant à eux, peuvent être gravement affectés par ces manipulations du marché. Les transactions basées sur des informations non publiées créent une inégalité sur le marché, où seuls ceux qui ont accès à ces informations peuvent en tirer profit. Cela peut entraîner une volatilité accrue des actions et une perte de confiance dans l’intégrité des marchés financiers.
Les mesures de sécurité
Pour prévenir de telles intrusions, il est crucial que les entreprises renforcent leurs mesures de sécurité. Cela inclut l’utilisation de l’authentification multifactorielle, la surveillance continue des activités suspectes et la formation des employés aux bonnes pratiques de cybersécurité. Les entreprises doivent également collaborer avec les autorités pour signaler toute activité suspecte et contribuer à l’enquête.
L’authentification multifactorielle (MFA) est l’une des mesures les plus efficaces pour protéger les comptes contre les accès non autorisés. En exigeant une deuxième forme d’identification, comme un code envoyé par SMS ou une application d’authentification, les entreprises peuvent ajouter une couche supplémentaire de sécurité. De plus, la surveillance continue des activités suspectes permet de détecter rapidement les tentatives d’intrusion et de réagir en conséquence.
La formation des employés est également essentielle. Les cybercriminels utilisent souvent des techniques d’ingénierie sociale pour tromper les employés et obtenir leurs identifiants de connexion. En sensibilisant les employés aux risques et en leur apprenant à reconnaître les tentatives de phishing, les entreprises peuvent réduire considérablement le risque de compromission des comptes.
Conclusion
Cette affaire met en lumière l’importance de la cybersécurité dans le monde des affaires modernes. Les entreprises doivent rester vigilantes et proactives pour protéger leurs informations sensibles et maintenir la confiance de leurs investisseurs. La collaboration entre les entreprises et les autorités est essentielle pour lutter contre ce type de cybercriminalité et garantir la sécurité des marchés financiers.
En fin de compte, la cybersécurité n’est pas seulement une question de technologie, mais aussi de culture d’entreprise et de vigilance continue. Les entreprises qui investissent dans la formation de leurs employés et la mise en place de mesures de sécurité robustes seront mieux préparées à faire face aux menaces croissantes de la cybercriminalité.
Sources : SEC, ministère de la justice, communiqué du bureau du procureur des États-Unis
Et vous ?
Quelles mesures de sécurité utilisez-vous pour protéger vos informations sensibles en ligne ? Pensez-vous que les entreprises investissent suffisamment dans la cybersécurité ? Pourquoi ou pourquoi pas ? Comment les entreprises peuvent-elles mieux sensibiliser leurs employés aux risques de cybersécurité ? Selon vous, quelles devraient être les sanctions pour les cybercriminels qui s’attaquent aux entreprises ? Avez-vous déjà été victime d’un piratage ou d’une tentative de piratage ? Comment avez-vous réagi ? Quel rôle les gouvernements devraient-ils jouer dans la protection des entreprises contre les cyberattaques ? Comment les entreprises peuvent-elles équilibrer la sécurité et la confidentialité des données avec la facilité d’accès pour leurs employés ? Pensez-vous que les technologies actuelles sont suffisantes pour prévenir ce type de cybercriminalité, ou faut-il innover davantage ? Quels sont, selon vous, les secteurs les plus vulnérables aux cyberattaques et pourquoi ? 
Envoyé par Stéphane le calme
