Cyberattaques : comment lutter contre les hoaxCrash ?

Computer Keyboard By: Marcie Casas - CC BY 2.0

Quel est le mode opératoire des hoaxCrash ? Et surtout, comment peut-on lutter contre les cyberattaques ?

Par Thierry Berthier.

hoaxCrash
Computer Keyboard By: Marcie CasasCC BY 2.0

L’accélération de la diffusion de l’information concerne aujourd’hui l’ensemble des secteurs d’activités humaines, en particulier l’économie et la finance. En apportant de la fluidité et de la réactivité dans les échanges, cette accélération, de nature systémique, a ouvert de nouveaux espaces d’interaction en mode « haute fréquence » et, corrélativement, a créé de nouvelles vulnérabilités.

Si les opérations d’influence et de désinformation ont toujours accompagné l’histoire de la communication depuis l’Antiquité, elles prospèrent désormais sur les infrastructures numériques et se nourrissent du « déluge de données ». Le canular, pratiqué par les Grecs et les Romains, a traversé deux millénaires pour devenir un puissant outil d’influence et de manipulation. Lorsqu’il est utilisé pour déstabiliser le cours d’une action en créant une volatilité artificielle sur le titre, on parle alors de « HoaxCrash » (hoax pour canular et crash pour le flash crash boursier qui en résulte).

De telles cyber-opérations méritent une attention particulière car les turbulences qu’elles engendrent sont souvent très violentes et coûteuses pour les victimes de l’attaque. À partir du HoaxCrash qui a ciblé le groupe Vinci le 22 novembre 2016, notre étude passe en revue les cas antérieurs puis réalise une analyse de ce type de cyberattaque. Elle montre en particulier qu’un HoaxCrash peut se définir formellement par la donnée de trois paramètres : sa durée de validité, son efficacité et sa puissance. L’étude propose ensuite quelques pistes pour lutter algorithmiquement contre les HoaxCrash.

Le cas du HoaxCrash Vinci

Le mardi 22 novembre vers 16h05, le groupe Vinci a été la cible d’une opération visant à déstabiliser le cours de son action en s’appuyant sur la publication d’un faux communiqué de presse « officiel » transmis par un intermédiaire légitime aux opérateurs boursiers. Ce faux message imitant sommairement la forme des messages officiels du groupe Vinci a d’abord été envoyé à l’agence de presse spécialisée Bloomberg qui n’a, hélas, pas détecté le canular.

Cette agence a alors rapidement publié et diffusé le faux message faisant état d’une alerte de révision des comptes consolidés 2015 et du premier semestre 2016 ainsi que du renvoi du directeur financier de Vinci après la découverte d’erreurs comptables portant sur plus de 3,5 milliards d’euros.

Dès la publication de cette fausse information, le titre Vinci a chuté presque instantanément de 18,28%, variant de 61,81 euros à 49,93 euros en quelques minutes. La valorisation du groupe est passée d’environ 36 milliards d’euros mardi 22 novembre au matin à 29 milliards au plus fort du dévissage, ce qui représente une perte momentanée de plus de 7 milliards d’euros. À 16h44, les attaquants ont publié un second communiqué cette fois pour démentir le premier, ce qui a provoqué la remontée immédiate du cours de l’action à un niveau très proche (mais inférieur) du cours de 15h50. Ce dévissage brutal et l’instabilité qui a suivi ont pris fin avec la suspension de la cotation du titre Vinci.

Un démenti officiel et légitime a été publié par Vinci à 17h01 soit près d’une heure après le début de l’opération :

« Un faux communiqué de presse Vinci a été publié par Bloomberg le 22 novembre à 16h05. Vinci dément formellement l’ensemble des « informations » figurant dans ce faux communiqué et étudie toutes les actions judiciaires à donner suite à cette publication ».

Le titre Vinci a terminé la séance de cotation mardi soir à 58,80 euros, en repli de 3,76%, pour un volume total d’échanges atteignant cinq fois celui réalisé en moyenne dans un contexte « normal ». Saisie par Vinci, l’Autorité des marchés financiers (AMF) mène aujourd’hui une enquête dont l’objectif est d’identifier précisément les opérateurs (humains ou robots HFT) qui ont exploité cette déstabilisation, c’est-à-dire ceux qui ont été présents et actifs au bon moment, au bon endroit, durant l’opération. L’AMF doit ensuite déterminer l’origine et les commanditaires de l’attaque.

Mode opératoire d’un HoaxCrash

Un HoaxCrash débute toujours par la publication d’un hoax ou canular réalisé sous usurpation d’identité d’une autorité ou d’une entité de référence. Cette fausse information, considérée comme légitime par les opérateurs boursiers provoque alors un flash crash sur l’action de l’entreprise ciblée.

Le mode opératoire du HoaxCrash s’articule selon la séquence suivante : l’attaquant commence par usurper l’identité d’un membre de la direction d’un groupe industriel X coté en bourse. Il rédige un message d’alerte « crédible » imitant le mieux possible le canal de communication habituel de l’entreprise. Cette alerte, signée du nom de l’un de ses dirigeants, révèle des difficultés financières ou des malversations dans l’activité du groupe. Elle est immédiatement diffusée auprès d’agences de presse spécialisées comme Bloomberg et des principaux opérateurs boursiers.

Si le message ne suscite pas de doute quant à sa véracité et qu’il bénéficie d’une validation tacite, l’effet est alors immédiat : le cours de l’action X dévisse brusquement. Quelques minutes plus tard, un second communiqué émis par l’attaquant vient démentir la première alerte, ce qui provoque la remontée immédiate du titre.

Cette volatilité contrôlée dans le temps à la baisse et à la hausse est alors exploitée par un deuxième acteur, complice de l’attaquant ou commanditaire du HoaxCrash, qui profite des variations artificielles engendrées lorsque le marché prend en compte la fausse alerte. Créé de toutes pièces par l’attaquant, l’avantage informationnel lui permet de réaliser de très gros profits sur les fluctuations du titre, à la hausse comme à la baisse, dont il maîtrise la temporalité.

On évoque souvent le trading haute fréquence (HFT) comme troisième acteur de l’opération puisque capable d’amplifier et de tirer bénéfice du flash crash né de la fausse information. Si le HFT peut effectivement intervenir dans la phase finale de spéculation sur le titre, les cinq dernières attaques par HoaxCrash ont toutefois été réalisées « à la main » à partir d’ordres envoyés par des opérateurs humains.

Résumés dans le tableau suivant, ces six derniers HoaxCrash efficaces ont montré que les motivations des attaquants pouvaient être de diverses natures, politique, activiste, concurrentielle, économique…

 HoaxCrash. Author provided
HoaxCrash. Author provided

Lutte contre le HoaxCrash

L’étude propose une définition formelle de l’efficacité E(m) d’un HoaxCrash en divisant le gain net obtenu G(m) par l’attaquant par la complexité algorithmique des messages « m » et du corpus informationnel S(m) qu’il a mis en place pour mener son attaque : E(m) = G(m)/K(m, S(m)) De la même manière, la puissance P(m) d’un HoaxCrash est définie en divisant la valeur totale des variations du cours de l’action A ciblée (évaluée une fois le flash crash terminé après publication du démenti officiel) par la complexité déjà citée : P(m) = V(A, T(m))/K(m, S(m)), T(M) désignant la durée de validité du hoax avant publication du démenti officiel. Un HoaxCrash H(m) est alors quantitativement et qualitativement déterminé par la donnée du triplet H(m) = {T(m), P(m), E(m)}.

La dernière partie de l’étude décrit l’architecture d’une plateforme de détection automatisée de HoaxCrash s’appuyant sur des technologies d’apprentissage (IA) et de validation/répudiation des communiqués financiers. Ce type de plateforme doit faire l’objet d’un développement sous la forme d’un démonstrateur POC (proof of concept).

Apport de l’intelligence artificielle

La morphologie des attaques de type HoaxCrash risque d’évoluer en se complexifiant fortement. Les techniques d’imitation permettent déjà de reproduire certains sites web à l’identique en conservant une adresse apparente semblable à l’adresse officielle ciblée. C’est l’infrastructure informationnelle utilisée en amont pour rendre crédible le faux message qui va nécessiter les efforts les plus importants de la part de l’attaquant.

Les plateformes de validation et de détection des HoaxCrash seront capables, grâce à l’intelligence artificielle, de détecter en temps réel les faux messages les plus rudimentaires. Elles produiront alors une alerte qui évitera le flash crash.

Cet article est issu d’une étude intitulée « Les 3F du HoaxCrash : fausses données, flash crash et forts profits », téléchargeable sur le site de la Chaire de Cyberdéfense et Cybersécurité Saint-Cyr.