L’accélération de la diffusion de l’information concerne aujourd’hui l’ensemble des secteurs d’activités humaines, en particulier l’économie et la finance. En apportant de la fluidité et de la réactivité dans les échanges, cette accélération, de nature systémique, a ouvert de nouveaux espaces d’interaction en mode « haute fréquence » et, corrélativement, a créé de nouvelles vulnérabilités.
Si les opérations d’influence et de désinformation ont toujours accompagné l’histoire de la communication depuis l’Antiquité, elles prospèrent désormais sur les infrastructures numériques et se nourrissent du « déluge de données ». Le canular, pratiqué par les Grecs et les Romains, a traversé deux millénaires pour devenir un puissant outil d’influence et de manipulation. Lorsqu’il est utilisé pour déstabiliser le cours d’une action en créant une volatilité artificielle sur le titre, on parle alors de « HoaxCrash » (hoax pour canular et crash pour le flash crash boursier qui en résulte).
De telles cyber-opérations méritent une attention particulière car les turbulences qu’elles engendrent sont souvent très violentes et coûteuses pour les victimes de l’attaque. À partir du HoaxCrash qui a ciblé le groupe Vinci le 22 novembre 2016, notre étude passe en revue les cas antérieurs puis réalise une analyse de ce type de cyberattaque. Elle montre en particulier qu’un HoaxCrash peut se définir formellement par la donnée de trois paramètres : sa durée de validité, son efficacité et sa puissance. L’étude propose ensuite quelques pistes pour lutter algorithmiquement contre les HoaxCrash.
Le cas du HoaxCrash Vinci
Le mardi 22 novembre vers 16 h 05, le groupe Vinci a été la cible d'une opération visant à déstabiliser le cours de son action en s'appuyant sur la publication d'un faux communiqué de presse “officiel” transmis par un intermédiaire légitime aux opérateurs boursiers. Ce faux message imitant sommairement la forme des messages officiels du groupe Vinci a d'abord été envoyé à l'agence de presse spécialisée Bloomberg qui n'a hélas pas détecté le canular.
Cette agence a alors rapidement publié et diffusé le faux message faisant état d'une alerte de révision des comptes consolidés 2015 et du premier semestre 2016 ainsi que du renvoi du directeur financier de Vinci après la découverte d'erreurs comptables portant sur plus de 3,5 milliards d'euros. Dès la publication de cette fausse information, le titre Vinci a chuté presque instantanément de 18,28 % , variant de 61,81 euros à 49,93 euros en quelques minutes. La valorisation du groupe est passée d'environ 36 milliards d'euros mardi 22 novembre au matin à 29 milliards au plus fort du dévissage, ce qui représente une perte momentanée de plus de 7 milliards d'euros.
Chronologie détaillée du HoaxCrash-Vinci - 22 novembre 2016
16h05 : diffusion du premier faux communiqué aux rédactions.
16h06-16h07 : les agences Bloomberg et Dow Jones reprennent des éléments du faux communiqué.
A partir de 16h10 : le porte-parole du Groupe dément les fausses informations auprès des agences de presse. Ce démenti officiel est immédiatement repris par les agences.
16h15 : la cotation est suspendue après une baisse de plus de 18% du cours de bourse.
16h19 : la cotation de l’action reprend et le cours remonte à un niveau proche quoique inférieur à celui constaté avant la diffusion du premier faux communiqué.
16h27 : diffusion du deuxième faux communiqué de démenti partiel.
16h49 : Vinci publie un démenti écrit sur son site internet.
17h02 : diffusion du démenti écrit (à l’AMF, aux marchés financiers, à la presse).
17h15 : le directeur juridique du Groupe appelle l’AMF.
17h35 : diffusion du troisième et dernier faux communiqué de « pseudo-revendication ».
Le premier démenti de Vinci intervient (par téléphone) à 16h10, soit cinq minutes seulement après la première publication du Hoax par Bloomberg. Le second démenti officiel est publié par Vinci à 16 h 49 sur son site internet : « Un faux communiqué de presse Vinci a été publié par Bloomberg le 22 novembre à 16 h 05. Vinci dément formellement l'ensemble des « informations » figurant dans ce faux communiqué et étudie toutes les actions judiciaires à donner suite à cette publication ».
On constate que l'attaquant publie son propre « faux démenti » à 16h27 dans le but de créer et d'exploiter une volatilité à la hausse sur l'action. Le titre Vinci a terminé la séance de cotation ce mardi soir à 58,80 euros, en repli de 3,76 %, pour un volume total d'échanges atteignant cinq fois celui réalisé en moyenne dans un contexte « normal ».
Saisie par Vinci, l'Autorité des Marchés Financiers (AMF) mène aujourd'hui une enquête dont l'objectif est d'identifier précisément les opérateurs (humains ou robots HFT) qui ont exploité cette déstabilisation, c'est-à-dire ceux qui ont été présents et actifs au bon moment, au bon endroit, durant l'opération. L'AMF doit ensuite déterminer l'origine et les commanditaires de l'attaque.
Le service de communication du groupe Vinci a réagi très rapidement, dès la quatrième minute de l'attaque, en produisant des démentis par téléphone auprès des agences de presse, puis en publiant un communiqué officiel sur son site, une quarantaine de minutes plus tard. Au regard de cette chronologie de gestion de crise, Il semble difficile de réduire encore le temps de réaction humain face à une tentative de HoaxCrash. Seule une réponse algorithmique, en haute fréquence et à large spectre de diffusion, permettrait de stopper le processus dans sa propre temporalité, avant qu'il ne produise son effet sur les marchés.
Mode opératoire d’un HoaxCrash
Un HoaxCrash débute toujours par la publication d’un hoax ou canular réalisé sous usurpation d’identité d’une autorité ou d’une entité de référence. Cette fausse information, considérée comme légitime par les opérateurs boursiers provoque alors un flash crash sur l’action de l’entreprise ciblée. Le mode opératoire du HoaxCrash s’articule selon la séquence suivante : l’attaquant commence par usurper l’identité d’un membre de la direction d’un groupe industriel X coté en bourse. Il rédige un message d’alerte « crédible » imitant le mieux possible le canal de communication habituel de l’entreprise. Cette alerte, signée du nom de l’un de ses dirigeants, révèle des difficultés financières ou des malversations dans l’activité du groupe. Elle est immédiatement diffusée auprès d’agences de presse spécialisées comme Bloomberg et des principaux opérateurs boursiers. Si le message ne suscite pas de doute quant à sa véracité et qu’il bénéficie d’une validation tacite, l’effet est alors immédiat : le cours de l’action X dévisse brusquement. Quelques minutes plus tard, un second communiqué émis par l’attaquant vient démentir la première alerte, ce qui provoque la remontée immédiate du titre.
Cette volatilité contrôlée dans le temps à la baisse et à la hausse est alors exploitée par un deuxième acteur, complice de l’attaquant ou commanditaire du HoaxCrash, qui profite des variations artificielles engendrées lorsque le marché prend en compte la fausse alerte. Créé de toutes pièces par l’attaquant, l’avantage informationnel lui permet de réaliser de très gros profits sur les fluctuations du titre, à la hausse comme à la baisse, dont il maîtrise la temporalité.
On évoque souvent le trading haute fréquence (HFT) comme troisième acteur de l’opération puisque capable d’amplifier et de tirer bénéfice du flash crash né de la fausse information. Si le HFT peut effectivement intervenir dans la phase finale de spéculation sur le titre, les cinq dernières attaques par HoaxCrash ont toutefois été réalisées « à la main » à partir d’ordres envoyés par des opérateurs humains. Résumés dans le tableau suivant, ces six derniers HoaxCrash efficaces ont montré que les motivations des attaquants pouvaient être de diverses natures, politique, activiste, concurrentielle, économique…
Lutte contre le HoaxCrash
L’étude propose une définition formelle de l’efficacité E(m) d’un HoaxCrash en divisant le gain net obtenu G(m) par l’attaquant par la complexité algorithmique des messages « m » et du corpus informationnel S(m) qu’il a mis en place pour mener son attaque : E(m) = G(m)/K(m, S(m)) De la même manière, la puissance P(m) d’un HoaxCrash est définie en divisant la valeur totale des variations du cours de l’action A ciblée (évaluée une fois le flash crash terminé après publication du démenti officiel) par la complexité déjà citée : P(m) = V(A, T(m))/K(m, S(m)), T(M) désignant la durée de validité du hoax avant publication du démenti officiel. Un HoaxCrash H(m) est alors quantitativement et qualitativement déterminé par la donnée du triplet H(m) = {T(m), P(m), E(m)}.
La dernière partie de l’étude décrit l’architecture d’une plateforme de détection automatisée de HoaxCrash s’appuyant sur des technologies d’apprentissage (IA) et de validation/répudiation des communiqués financiers. Ce type de plateforme doit faire l’objet d’un développement sous la forme d’un démonstrateur POC (proof of concept).
Apport de l’intelligence artificielle
La morphologie des attaques de type HoaxCrash risque d’évoluer en se complexifiant fortement. Les techniques d’imitation permettent déjà de reproduire certains sites web à l’identique en conservant une adresse apparente semblable à l’adresse officielle ciblée. C’est l’infrastructure informationnelle utilisée en amont pour rendre crédible le faux message qui va nécessiter les efforts les plus importants de la part de l’attaquant.
Les plateformes de validation et de détection des HoaxCrash seront capables, grâce à l’intelligence artificielle, de détecter en temps réel les faux messages les plus rudimentaires. Elles produiront alors une alerte qui évitera le flash crash.
Cet article est issu d'une étude intitulée « Les 3 F du HoaxCrash : Fausses données, Flash Crash et Forts profits » analysant les mécanismes du HoaxCrash. L'étude complète est téléchargeable sur le site de la Chaire de Cyberdéfense & Cybersécurité Saint-Cyr - Publications Janvier 2017 - IV-Mesure de la Cybermenace - Article IV - 10.