Des institutions financières et une agence de presse ont été utilisées pour gonfler artificiellement la valeur d'une action.
Cette semaine, un pirate informatique russe a plaidé coupable dans ce que le ministère de la Justice des États-Unis a qualifié de « campagne massive de piratage contre des institutions financières, des sociétés de courtage, des éditeurs d’informations financières et autres entreprises ».
L’affaire du District sud de New York présente des éléments spectaculaires : Andrei Tyurin a « fait gonflé artificiellement le prix de certaines actions » pour ensuite les « commercialiser de manière confuse et trompeuse » à des clients auxquels il avait volé les coordonnées via des entreprises, notamment via une grande agence de presse financière non identifiée.
« Il ne s’agit pas d’un cybercrime de vol de données typique. Il s’agit de complots très élaborés qui relèvent de l’espionnage d’entreprise, de propagation de rumeurs et de fausses informations. » – Luis Corrons, évangéliste de la cybersécurité chez Avast
L’avocat de Tyurin, Florian Miedel, a déclaré dans un communiqué envoyé au blog d’Avast que son client avait été « embauché par les créateurs et les cerveaux du complot » et qu’il « avait joué un rôle limité dans cette conspiration de grande envergure ».
Le pirate a été inculpé aux côtés d'autres suspects, notamment de Gery Shalon, que le ministère de la Justice des États-Unis a identifié dans divers projets criminels. Un porte-parole du ministère a indiqué au blog d’Avast que seul Tyurin avait conclu un accord de négociation de peine. On ignore à quel point il coopère avec les procureurs. Il devrait recevoir son verdict en février.
Ce n’est pas la première fois que des pirates tentent un piratage de grande échelle sur les actions d'entreprises et les systèmes financiers. En janvier, la Securities and Exchange Commission (SEC) a accusé neuf personnes d’avoir participé à un complot visant à pirater son système informatique et celui de réseaux d’informations financières. La menace qui pèse sur les marchés financiers est telle pour la sécurité nationale que le Pentagone travaille avec des pirates éthiques pour protéger ses systèmes financiers, comme l’a rapporté en 2017 le Wall Street Journal.
Les procureurs ont déclaré que la portée de cette opération était remarquable. En 2016, Preet Bharara, l’avocat des États-Unis pour le District sud de New York, a qualifié le complot de « fraude à la sécurité sur cyberstéroïdes » et a déclaré que le groupe avait perpétré « le plus grand vol de données personnelles jamais réalisé sur les institutions financières des États-Unis. »
L’affaire :
- a ciblé de grandes institutions financières, sociétés de courtage et agences de presse
- a comporté le vol d'informations personnelles de 100 millions de consommateurs
- a duré 3 ans (de 2012 à 2015)
Mais pendant tout ce temps où les pirates ont manipulé la Bourse, personne n’a rien vu. Environ 2,5 millions de parts d’une action non définie ont été utilisées dans le cadre de cette opération et les nombreux abonnés à la lettre d’une agence de presse financière ont été induits en erreur quant à la valeur de l’action. Les procureurs ont déclaré que les e-mails frauduleux avaient été envoyés à de nombreux lecteurs et que des pirates avaient volé 10 millions d'adresses e-mail à l'agence de presse.
« C’est une affaire criminelle très intéressante. Il ne s’agit pas d’un cybercrime de vol de données typique », déclare Luis Corrons, évangéliste de la cybersécurité chez Avast. « Il s’agit de complots très élaborés qui relèvent de l’espionnage d’entreprise, de propagation de rumeurs et de fausses informations. Et on n’entend parler que des cas qui ont été découverts. On ne sait pas combien d’autres complots sont en train d’avoir lieu sans que personne ne le remarque. »
Le ministère de la justice des États-Unis a affirmé que « l’effort visant à gonfler artificiellement le prix de certaines actions cotées en bourse aux États-Unis » et d’autres éléments du complot ont rapporté aux criminels « des centaines de millions de dollars de recette illicite ».