Oui, Kerviel est un hacker

Kerviel n’a probablement pas écrit de script malin pour déjouer les sécurités. Mais le fait d’être capable de disposer d’un identifiant et du mot de passe qui va avec et, surtout, de pouvoir s’en servir est une technique de piratage informatique élementaire, l’ingéniérie sociale. C’est encore une des meilleures techniques de hacking (ou cracking pour faire du purisme lexical).
Ceci conduit à relativiser ce qui est dit sur l’amélioration des contrôles automatisés. Et je me posais la question suivante : au fond, dans le système de contrôle d’une banque aujourd’hui, est-ce que le meilleur contrôle, ce n’est pas la peur, que tout trader censé devrait avoir, d’être le prochain Kerviel (fut Leeson) ? Mais peut-être que je sous-estime la capacité technique des SI bancaires actuels (on ne rit pas). Ou que je surestime la santé mentale des traders (hey, souvenez vous American Psycho 🙂 )

31 Commentaires

  1. Il est surtout parfaitement risible qu’une banque qui vend des cartes à puce à ses clients (les cartes bleues) pour sécuriser leurs paiements informatisés ne trouve pas de raison de les faire utiliser à son personnel pour sécuriser les siens.

    Surtout au pays de l’inventeur de la carte à puce.

  2. Les mots de passe il a pu aussi les voler (à l’aide de simples keyloggers)

    D’après ce que j’ai compris, ce n’était pas le cas, au moins pendant un moment.

  3. Il semble donc qu’il existe une lien de corrélation entre la lecture d’Adam Smtih et la capacité à craquer un système de sécurité d’une grande banque française…

    Levitt n’a plus qu’à pondre un article …

  4. L’ingénierie sociale est moyen d’obtenir des informations, telles que des mots de passe. Ici, le trader avait ces mots de passe pour avoir travaillé auparavant au back office, non ?

    Sans doute faudrait-il une séparation totale entre les SI du front et du back office; rendre totalement impossible le fait d’accéder au système du front depuis le back, par exemple.

    Est-ce que la capacité à utiliser les mots de passe à d’autres fins que celles prévues initialement ne relève pas de l’ingénierie sociale ? Le fait d’abuser de la confiance est-il suffisant pour parler d’ingénierie sociale ? Je laisse la question ouverte, en ayant opté ici pour « oui ».

  5. > C’était un type qui préférait lire Adam Smith plutôt que se chercher une copine!

    Auquel cas, même en restant dans le purisme lexical, c’est bien un hacker :

    >> An expert or enthusiast of any kind.

    Il est enthousiaste, on ne peut pas dire le contraire.

    >> One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations.

    Dans la catégorie "circumventing limitations" a même placé la barre assez haut.

    catb.org/jargon/html/H/ha…

    Et moi qui croyais que dans tout service informatique, il y a un Administrateur Réseau paranoïaque qui veille.

    Quelle désillusion !

  6. Qui a dit que l’enseignement de SES ne conduisait à rien ?

    (pour répondre à la question : mais Nick Leeson est actuellement riche et heureux, et Kerviel est la coqueluche des filles du monde entier ; par ailleurs et plus sérieusement, on est dans une situation qui évoque un peu le jeu à la d’Alembert, avec un gain potentiellement infini pour des pertes toujours limitées… loin d’être un "trader fou", cet individu est peut-être au contraire farouchement rationnel ! )

  7. En tout cas ce qui est sur c’est qu’on a pas fini de lire des portraits psychologiques de ce jeune homme : est-il fou? mégalomane? psychotique ? influençable ? névrosé ?

  8. Hummm… American Psycho, c’est plutôt la faille provoquée par le fait que l’individu n’est pas plus heureux malgré ses incroyables richesses. (Problématique située au centre d’une majorité -de toutes ?- les oeuvres d’Ellis.)

    C’est plus un problème de gosse de riche que de trader qui tente de monter les échelons. Comme le fut Kerviel, qui semblait encore croire que gagner plus de 100 000€ par an était un but en soi. (Selon ce qu’il a apparemment dit aux flics chargés de l’interroger.)

    Bref, si Bateman énerve ou irrite juste parce qu’il n’a pas le recul sur sa situation et s’il est juste atteint de problèmes mentaux, Kerviel ou d’autres traders jouant toujours plus hors des limites qui leur sont imposés font plutôt pitiés… :oS

    AJC

    Eh ben… On dit deux mots au second degré et vous nous en faites un roman (à adapter au cinoche ?).

  9. C’est tout le problème de la sécurité informatique, on dresse des barrières presque fiables entre l’entreprise et le monde extérieure, mais l’informatique interne est souvent poreuse!

  10. "mais Nick Leeson est actuellement riche et heureux"
    En effet, une fois sortis de prison les gens peuvent vendre leur histoire. Ceci est interdit dans certains états des US (les "son of sam laws"), mais pas en europe (à ma connaissance ? Il nous faut un juriste !)

    "loin d’être un "trader fou", cet individu est peut-être au contraire farouchement rationnel."
    Un des commentaires sur freakonomics se demande pourquoi on dit "rogue trader", et pas "rogue bank" ? Une banque qui laisse passer des trucs si gros n’est elle pas un peu folle elle aussi ?
    Rogue trader, rogue management. 🙂

  11. On n’a pas assez de données pour juger. S’il suffit d’un identifiant et d’un mot de passe pour passer 140.000 ordres à découvert, alors je veux bien manger mon chapeau ! Le misérable petit logiciel comptable que j’utilise renâcle pour un oui pour un non quand je passe des écritures qui lui semblent bizarres, alors un logiciel de front office…

    Je n’ai jamais dit que ça suffisait.

  12. Ne connaissant pas les pratiques en ce domaine, je m’avance un peu, mais je ne serais pas étonné outre mesure que les mots de passe ne changent pas aussi souvent qu’il serait nécessaire, ou bien qu’un mot de passe soit à peu près déductible de celui de la période précédente par quelqu’un qui en aurait une série assez longue (comme Kerviel), ou encore que ces mots de passe soient obligeamment notés sur des Post-It(TM) sur les postes d’au moins une personne.

    Bref, comme très souvent dans les problèmes de sécurité informatique, la faille est d’abord humaine.

  13. SM : c’était pas un post particulièrement sérieux non plus. :oP

    Oui, à adapter au cinéma, en noir et blanc, avec que des dialogues qui finissent par "Mais lorsque je disais que l’extérioralité de l’acte de bravoure était ontologique… je déconnais, Anna. Pas la peine de t’emporter."
    A une seule condition, je veux être joué au minimum par Brad Pitt en slip.

    Néanmoins, hors réaction "pas sérieuse" sur la différenciation Kerviel-Bateman, il serait intéressant de se pencher sur la différence entre le mythe du trader, et sa réalité.
    Tout comme cela a déjà été fait avec les hackers par exemple.

    AJC

  14. Comme le hacking c’est plus mon domaine que l’économie, je vais me permettre d’ajouter mon grain de sel. Qualifier la récupération de login/pwd dans des scripts vb/excel d’ingénierie sociale me paraît un peu exagéré. Choper des droits à partir de macros, ça demande juste d’être curieux et de savoir lire.

    Sans vouloir en faire un domaine noble, l’ingénierie sociale demande autant de savoir faire et de feeling avec les humains que l’ingénierie financière avec les produits dérivés (quoique…). En particulier elle se base sur des techniques de manipulation et d’une bonne analyse et connaissance de la cible. C’est un vrai métier ma pôv dame… (même si Mitnick a pu faire croire que c’était simple).

    Là où je saute au plafond, c’est sur ces macros, et quand je lis qu’il a pu utiliser les login des postes occupés auparavant. Pitié, virez l’admin réseau de la SG! Ou alors qu’elle me paye une prestation d’audit/conseil, y a du vrai boulot.

    Il leur manque une véritable équipe sécurité, hors hiérarchie traders et SI, avec 3 profils : hacker/psychologue (l’humain), admin réseau (la technique) et financier (le métier). Ce fonctionnement en trinômes autonomes est le seul permettant d’assurer que les contrôles soient efficaces et les barrières fiables. Pour bien faire, il faut s’assurer que les trinômes ne sont pas trop longtemps ensemble, la paranoïa étant de rigueur dans le métier.

    Vous m’apprenez l’histoire des macros. Je pensais tout bonnement qu’il avait conservé d’anciens codes. Leur utilisation furtive étant donc assez proche d’une démarche d’ingénierie sociale, puisque tout le monde devait savoir facilement qu’il les avait.

  15. Opportunisme dans un système incontrôlé, où la motivation primale est le gain, d’argent, de reconnaissance, de pouvoir.

    Un simple humain, seul face à ses démons et dans un environnement incitant à la transgression n’est pas forcément un manipulateur, et encore moins un terroriste.

    L’ingénierie, dans tout ça, ça n’est qu’un outil…

    Réponse de Stéphane Ménia
    Vous vous prenez pour Ph. Dick ? Ou juste Maurice Dantec ? Enfin, je veux dire que je ne suis pas certain d’avoir compris le sens de la réponse.

  16. Raisonnons en économiste : que l’état, si prompt à dépênser de l’argent, paye une prime significative à tout contrôleur révélant une fraude à la presse.

    Après vous entendrez gémir les pleureuses : on assassine le métier, notre industrie va être délocalisée à Londres, c’est mauvais pour la croissance et les anglais puent des pieds.

    Résumons : le contrôle, c’est bien, la croissance c’est mieux.

  17. Et pourtant Eliot (cf. liens mentionnés par 18. Eco Beginner) était censé être une oeuvre d’art magistrale de l’informatique bancaire…

  18. Marrant que vous ne soyez pas sur de comprendre ma réponse, ça me donne l’impression d’être un économiste 🙂

    Bon, pour reprendre l’envolée lyrique d’avant dodo, en gros c’est un type normal, avec un besoin de reconnaissance, de fric, et il s’est retrouvé dans une situation sans contrôle.

    Tout le poussait à la faute. Alors, sans excès ni défaut de compétences, il a agit en humain moyen. Pas de machiavélisme, ni d’ingénierie sociale de sa part, juste de l’opportunisme.

    Le qualificatif de terroriste c’est Bouton qui l’a employé, je n’invente rien.

    Il faut que j’arrête de poster quand je suis fatigué, parce qu’être comparé à Dantec, c’est pas facile tous les jours (quoique, la sirène rouge, ça se lit plutôt bien, c’est après que ça se gâte)

  19. Jérôme Kerviel à mon sens n’est pas pleinement coupable.
    Il à bien fait,probablement pour des raisons personnelles?
    Tôt ou tard nous le saurons par la suite…(si seulement on ne nous voilera pas la face en nous mentant).
    Il aura sû exploiter des failles et cela dénote par A+B que le problème viens bien d’ailleurs.

    Tous ces faits me remémorent l’affaire Humpich avec le GIE…

    alexandre_terrat@hotmail.fr

  20. The Economist semble aller dans le sens de l’hypothèse de cet article ( http://www.economist.com/finance... ) se référant à la SG elle-même : il se pourrait que JK ait tout simplement obtenu des mots de passe en proposant gentiment à des collègues du middle-office de les aider à rentrer des opérations à des occasions où ils croulaient sous le boulot.

    C’est rigolo l’ingénierie sociale, en effet.

  21. Tout ça n’est qu’une mascarde.
    J’ai travaillé plus de 4 ans dans un back-office bancaire. Il y a des contrôles drastiques à tous les niveaux. Contrôle quotidien (toutes les tâches ont une traçabilité grâce à un identifiant attribué à chaque salarié)de la part des responsables hiérarchiques,des services de contrôle des risques qui sont capables de démêler tous les problèmes (des informaticiens qui sortent souvent de polytechnique), et des services comptables qui sont surement plus compétents que notre ami M. Kerviel au niveau de la comptabilisation et contrepassation des comptes.
    Par ailleurs, il est impossible de conserver des mots de passe lorsqu’on passe d’un service à un autre, de plus il y a des nombreuses mises à jour et changement des mots de passe dans un année.
    Dans une banque comme la socgen, où les contrôles sont les plus drastiques et le management le moins souple (plein de petits chefs aigris et stressés qui sont en permanence derrière le dos de leurs subordonnés) , ça paraît surrélaiste !

  22. Juste pour répondre à la question sur l’ingénierie sociale. Cette dernière consiste à abuser de la confiance de personnes responsables en usurpant l’identité de quelqu’un d’autre (le plombier, le ministre, etc). Si les mots de passe circulent en clair sur le réseau, que les anciens mots de passe ne sont pas invalidés, et qu’une personne en profite, alors on peut l’accuser de piraterie ou de fraude, mais pas d’ingénierie sociale. Maintenant, il faudrait avoir tous les éléments en main pour pouvoir répondre avec certitude, et je doute qu’ils soient publiés ! 😀

    Réponse de Stéphane Ménia
    « abuser de la confiance de personnes responsables en usurpant l’identité de quelqu’un d’autre (le plombier, le ministre, etc).  » Votre défintion est trop retsrictive L’usurpation d’identité n’est pas indispensable.

  23. Comme Miguel, j’ai tendance à penser qu’on se fiche du monde avec cette histoire. Un "p’tit gars", "pas spécialement doué" qu’ils disaient au départ, qui devient en quelques jours un "génie", déjà, je me marre. Ne parlons même pas de la présomption d’innocence, tout le monde s’est allègrement assis dessus…
    Mais le coup des mots de passe, c’est à se pisser dessus de rire ! Dans n’importe quelle boîte, les identifiants-mots de passe d’un employé qui part sont instantanément annulés. Et, dans les boîtes "sérieuses", les mots de passe sont changés de manière régulière (et la chasse aux post-it organisée). Quant à la romance des macros Excel qui récupèrent des logins, ça me fait plutôt rigoler, je savais pas Excel outil de hacker… Et j’ai un peu de mal à croire qu’un trader donne ses login et mot de passe à une équipe de développement pour qu’elle les intègre dans une macro (à moins qu’il soit complètement con). D’autant que ces mots de passe changent régulièrement, une fois encore…
    Et un mec qui prend pas de vacances pendant deux ans, on voit ça dans toutes les boîtes…
    Et le conte de fées continue lorsqu’on prétend que les softs de contrôle de risque n’auraient rien vu…
    Moi, je veux bien… De ce que je sais, le monde bancaire est effectivement un peu à la traîne au niveau informatique à de nombreux niveaux, aussi étonnant cela puisse être. Mais de là à en arriver à de telles gabegies, j’ai plus que du mal à y croire.
    Après, pourquoi la SG aurait monté cette petite histoire, j’en sais fichtre rien. Mais le mec qui fait office de bouc-émissaire, le lampiste, ça tient de la fable. Dont on a déjà vu mille et mille interprétations dans l’histoire.

  24. N’étant pas économiste une question me turlupine :
    J’ai cru comprendre que les banques faisaient passer leurs opérations par des banques de compensation (style clearstream)
    A lire la presse JK aurait couvert ses opérations réels perdantes par d’autres fictives.
    Comment une banque de compensation peut-elle passer des ordres fictifs ?
    Si non pourquoi ne pas avoir prévenu la socgen ?

  25. à lire absolument le Canard du 31/01. Entre autres, on y apprend sa tactique, acheter sans se couvrir (vendre autre chose). Démasqué en 2005, malgré des gains, on le blâme en lui refusant son bonus. Il persévère (il est Breton) et, fin 2006, JK aurait fait volontairement des opérations à perte pour compenser des gains tellement énormes (1.5 Milliard EUR) qu’il ne pouvait les avouer à sa hiérarchie. Il s’est contenté d’un "raisonnable" 50 millions, et touché un bonus de 300 KEUR pour cette année.
    Pour la suite (et le détail), voir le Canard. Si c’est la vérité, c’est consternant !

  26. Effectivement, l’usurpation d’identité n’est pas indispensable. Mais l’ingénierie sociale implique une manipulation des utilisateurs du système. Il faudrait donc savoir si JK à délibérément menti à ses collègues pour obtenir les mots de passe, ou bien si son intention était honnête à l’origine, et qu’il a ensuite abuser de la confiance obtenue. Dans tous les cas, je préfère tout de même parler de manque de cloisonnement de l’information plutôt que d’attaque de la part de JK (avec pour base les seules informations disponibles).

  27. Oui et en lisant IHT (les journaux en anglais seraient ils moins muselés) d’hier on voir que le conseil de surveillance de l’EUREX aurait demande a la SoGe des explications sur les agissements de JKerviel (nommément) en novembre 2007 et décembre 2007 et qu’a chaque fois la Soge a répondu "pas de problèmes". En effet, sa hiérarchie était contente: il gagnait alors 2 milliards d’euros !
    Comme quoi, Mr Bouton oublie vite….et puis cela a fait passer les pertes sur les subprimes pour de la bibine.
    http://www.iht.com/articles/2008...

Commentaires fermés.