Cyberattaques : comment lutter contre les hoaxCrash ?

Quel est le mode opératoire des hoaxCrash ? Et surtout, comment peut-on lutter contre les cyberattaques ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Computer Keyboard By: Marcie Casas - CC BY 2.0

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Cyberattaques : comment lutter contre les hoaxCrash ?

Publié le 22 janvier 2017
- A +

Par Thierry Berthier.

hoaxCrash
Computer Keyboard By: Marcie CasasCC BY 2.0

L’accélération de la diffusion de l’information concerne aujourd’hui l’ensemble des secteurs d’activités humaines, en particulier l’économie et la finance. En apportant de la fluidité et de la réactivité dans les échanges, cette accélération, de nature systémique, a ouvert de nouveaux espaces d’interaction en mode « haute fréquence » et, corrélativement, a créé de nouvelles vulnérabilités.

Si les opérations d’influence et de désinformation ont toujours accompagné l’histoire de la communication depuis l’Antiquité, elles prospèrent désormais sur les infrastructures numériques et se nourrissent du « déluge de données ». Le canular, pratiqué par les Grecs et les Romains, a traversé deux millénaires pour devenir un puissant outil d’influence et de manipulation. Lorsqu’il est utilisé pour déstabiliser le cours d’une action en créant une volatilité artificielle sur le titre, on parle alors de « HoaxCrash » (hoax pour canular et crash pour le flash crash boursier qui en résulte).

De telles cyber-opérations méritent une attention particulière car les turbulences qu’elles engendrent sont souvent très violentes et coûteuses pour les victimes de l’attaque. À partir du HoaxCrash qui a ciblé le groupe Vinci le 22 novembre 2016, notre étude passe en revue les cas antérieurs puis réalise une analyse de ce type de cyberattaque. Elle montre en particulier qu’un HoaxCrash peut se définir formellement par la donnée de trois paramètres : sa durée de validité, son efficacité et sa puissance. L’étude propose ensuite quelques pistes pour lutter algorithmiquement contre les HoaxCrash.

Le cas du HoaxCrash Vinci

Le mardi 22 novembre vers 16h05, le groupe Vinci a été la cible d’une opération visant à déstabiliser le cours de son action en s’appuyant sur la publication d’un faux communiqué de presse « officiel » transmis par un intermédiaire légitime aux opérateurs boursiers. Ce faux message imitant sommairement la forme des messages officiels du groupe Vinci a d’abord été envoyé à l’agence de presse spécialisée Bloomberg qui n’a, hélas, pas détecté le canular.

Cette agence a alors rapidement publié et diffusé le faux message faisant état d’une alerte de révision des comptes consolidés 2015 et du premier semestre 2016 ainsi que du renvoi du directeur financier de Vinci après la découverte d’erreurs comptables portant sur plus de 3,5 milliards d’euros.

Dès la publication de cette fausse information, le titre Vinci a chuté presque instantanément de 18,28%, variant de 61,81 euros à 49,93 euros en quelques minutes. La valorisation du groupe est passée d’environ 36 milliards d’euros mardi 22 novembre au matin à 29 milliards au plus fort du dévissage, ce qui représente une perte momentanée de plus de 7 milliards d’euros. À 16h44, les attaquants ont publié un second communiqué cette fois pour démentir le premier, ce qui a provoqué la remontée immédiate du cours de l’action à un niveau très proche (mais inférieur) du cours de 15h50. Ce dévissage brutal et l’instabilité qui a suivi ont pris fin avec la suspension de la cotation du titre Vinci.

Un démenti officiel et légitime a été publié par Vinci à 17h01 soit près d’une heure après le début de l’opération :

« Un faux communiqué de presse Vinci a été publié par Bloomberg le 22 novembre à 16h05. Vinci dément formellement l’ensemble des « informations » figurant dans ce faux communiqué et étudie toutes les actions judiciaires à donner suite à cette publication ».

Le titre Vinci a terminé la séance de cotation mardi soir à 58,80 euros, en repli de 3,76%, pour un volume total d’échanges atteignant cinq fois celui réalisé en moyenne dans un contexte « normal ». Saisie par Vinci, l’Autorité des marchés financiers (AMF) mène aujourd’hui une enquête dont l’objectif est d’identifier précisément les opérateurs (humains ou robots HFT) qui ont exploité cette déstabilisation, c’est-à-dire ceux qui ont été présents et actifs au bon moment, au bon endroit, durant l’opération. L’AMF doit ensuite déterminer l’origine et les commanditaires de l’attaque.

Mode opératoire d’un HoaxCrash

Un HoaxCrash débute toujours par la publication d’un hoax ou canular réalisé sous usurpation d’identité d’une autorité ou d’une entité de référence. Cette fausse information, considérée comme légitime par les opérateurs boursiers provoque alors un flash crash sur l’action de l’entreprise ciblée.

Le mode opératoire du HoaxCrash s’articule selon la séquence suivante : l’attaquant commence par usurper l’identité d’un membre de la direction d’un groupe industriel X coté en bourse. Il rédige un message d’alerte « crédible » imitant le mieux possible le canal de communication habituel de l’entreprise. Cette alerte, signée du nom de l’un de ses dirigeants, révèle des difficultés financières ou des malversations dans l’activité du groupe. Elle est immédiatement diffusée auprès d’agences de presse spécialisées comme Bloomberg et des principaux opérateurs boursiers.

Si le message ne suscite pas de doute quant à sa véracité et qu’il bénéficie d’une validation tacite, l’effet est alors immédiat : le cours de l’action X dévisse brusquement. Quelques minutes plus tard, un second communiqué émis par l’attaquant vient démentir la première alerte, ce qui provoque la remontée immédiate du titre.

Cette volatilité contrôlée dans le temps à la baisse et à la hausse est alors exploitée par un deuxième acteur, complice de l’attaquant ou commanditaire du HoaxCrash, qui profite des variations artificielles engendrées lorsque le marché prend en compte la fausse alerte. Créé de toutes pièces par l’attaquant, l’avantage informationnel lui permet de réaliser de très gros profits sur les fluctuations du titre, à la hausse comme à la baisse, dont il maîtrise la temporalité.

On évoque souvent le trading haute fréquence (HFT) comme troisième acteur de l’opération puisque capable d’amplifier et de tirer bénéfice du flash crash né de la fausse information. Si le HFT peut effectivement intervenir dans la phase finale de spéculation sur le titre, les cinq dernières attaques par HoaxCrash ont toutefois été réalisées « à la main » à partir d’ordres envoyés par des opérateurs humains.

Résumés dans le tableau suivant, ces six derniers HoaxCrash efficaces ont montré que les motivations des attaquants pouvaient être de diverses natures, politique, activiste, concurrentielle, économique…

 HoaxCrash. Author provided
HoaxCrash. Author provided

Lutte contre le HoaxCrash

L’étude propose une définition formelle de l’efficacité E(m) d’un HoaxCrash en divisant le gain net obtenu G(m) par l’attaquant par la complexité algorithmique des messages « m » et du corpus informationnel S(m) qu’il a mis en place pour mener son attaque : E(m) = G(m)/K(m, S(m)) De la même manière, la puissance P(m) d’un HoaxCrash est définie en divisant la valeur totale des variations du cours de l’action A ciblée (évaluée une fois le flash crash terminé après publication du démenti officiel) par la complexité déjà citée : P(m) = V(A, T(m))/K(m, S(m)), T(M) désignant la durée de validité du hoax avant publication du démenti officiel. Un HoaxCrash H(m) est alors quantitativement et qualitativement déterminé par la donnée du triplet H(m) = {T(m), P(m), E(m)}.

La dernière partie de l’étude décrit l’architecture d’une plateforme de détection automatisée de HoaxCrash s’appuyant sur des technologies d’apprentissage (IA) et de validation/répudiation des communiqués financiers. Ce type de plateforme doit faire l’objet d’un développement sous la forme d’un démonstrateur POC (proof of concept).

Apport de l’intelligence artificielle

La morphologie des attaques de type HoaxCrash risque d’évoluer en se complexifiant fortement. Les techniques d’imitation permettent déjà de reproduire certains sites web à l’identique en conservant une adresse apparente semblable à l’adresse officielle ciblée. C’est l’infrastructure informationnelle utilisée en amont pour rendre crédible le faux message qui va nécessiter les efforts les plus importants de la part de l’attaquant.

Les plateformes de validation et de détection des HoaxCrash seront capables, grâce à l’intelligence artificielle, de détecter en temps réel les faux messages les plus rudimentaires. Elles produiront alors une alerte qui évitera le flash crash.

Cet article est issu d’une étude intitulée « Les 3F du HoaxCrash : fausses données, flash crash et forts profits », téléchargeable sur le site de la Chaire de Cyberdéfense et Cybersécurité Saint-Cyr.

Voir le commentaire (1)

Laisser un commentaire

Créer un compte Tous les commentaires (1)
  • Pourquoi faudrait-il lutter contre les hoaxcrash ?
    Le bon sens doit permettre de reconnaître les fausses informations des vraies, celui qui a acheté des Vinci dans le crash parce qu’il ne croyait pas à la véracité de la dépêche doit recevoir la juste récompense de sa clairvoyance, celui qui s’est fié à autrui (autrA.I.) a pris un risque, qu’il assume !

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don
hacker cyberguerre
1
Sauvegarder cet article

Il existe plusieurs groupes de hackers d'États russes et ukrainiens connus pour leurs activités de cyberespionnage et de cyberattaques. Mon propos n’est pas de les nommer.

Avant de poursuivre, il convient de nous entendre sur le terme de hacking en temps de cyberguerre.

La première chose qui vient à l’esprit relève du technologique, un hacking qui vise à altérer le fonctionnement de structures et d’infrastructures stratégiques. Dans le cadre d’une cyberguerre vous retrouverez trois types d’attaques : des attaques de destruction,... Poursuivre la lecture

 

 

Nonobstant les cyber-attaques intrusives que nous allons évoquer et qu’il convient d’anticiper en adoptant immédiatement une attitude défensive faite de back up très réguliers entre autres… La première des cyber-attaques menée par le gouvernance russe l’est à ciel ouvert et va être une bataille de communication et de propagande sur les réseaux.

Il va s’agir pour le gouvernement russe de limiter autant que faire se peut les images désastreuses qui pourraient circuler sur son propre territoire et de pouvoir as... Poursuivre la lecture

0
Sauvegarder cet article

Par François Joslain.

Forbidden Stories et Amnesty International viennent de révéler le Projet Pegasus. Il s'agit d'un logiciel développé par la société israélienne NSO qui permet de pirater n’importe quel téléphone Android ou iPhone. Le téléphone se transforme ainsi en mouchard espionnant son propriétaire. Les victimes se comptent en dizaine de milliers, dont des chefs d’État comme Emmanuel Macron.

Le président Emmanuel Macron réunira jeudi matin un conseil de défense "exceptionnel dédié à l'affaire Pegasus... Poursuivre la lecture

Voir plus d'articles