Julien Chambaud

En septembre 1999 l’énigmatique groupe United Loan Gunmen (ULG) modifiait le site du Nasdaq, le marché des valeurs high-tech américaines. Cette semaine, c’est Prime Suspectz qui s’est introduit sur l’un des serveurs du Nasdaq. Une visite qu’il a signée par un texte très personnel en lieu et place de la page d’accueil qui, normalement, propose aux internautes d’acheter une participation dans un fond qui gère 100 titres du fameux marché. Selon attrition.org, le site de référence du petit monde du hack, Prime Suspectz "s’est contenté de souhaiter à tous de bonnes fêtes de fin d’année en portugais".

Des informations de valeur ?

La modification de la page d’accueil de ce site est intéressante... Un peu plus d’un an après l’intrusion des ULG, elle pose à nouveau la question de la valeur de l’information financière publiée sur Internet. Et de la responsabilité des diffuseurs. Que vaut une information financière qui engage des milliers d’investisseurs si elle peut être altérée par un gamin en mal de publicité ? Que vaut une information publiée à la une du site d’un journal si elle peut avoir été modifiée subtilement ? Que vaut un chiffre issu d’un rapport annuel diffusé sur le site d’une entreprise si celui-ci est faux ? Que vaut le communiqué de presse qui s’affiche en page d’accueil du serveur de telle grande entreprise s’il a pu être rédigé par un concurrent ?

Mauvaise publicité

Les deux hacks - celui des ULG qui avaient modifié le fil de nouvelles affichées sur le site du Nasdaq, et celui de Prime Suspectz - démontrent que même les serveurs d’une institution comme le Nasdaq, qui consacre sans doute un gros budget à la sécurité, sont à la merci de quelques spécialistes. Le groupe ULG n’a jamais été arrêté. Soit le Nasdaq n’a jamais réussi à réunir les traces nécessaires pour remonter la piste, soit il n’a pas voulu les suivre... Et il n’a visiblement pas installé de sondes efficaces sur son réseau (la partie consacrée à Internet) pour déceler les intrusions. On remarque aussi que la SEC, l’autorité de tutelle des marchés, ne s’est pas trop offusquée de ce genre de plaisanteries alors qu’elle fustige régulièrement les méchants qui publient de fausses rumeurs sur des forums de discussion... La dernière intrusion signée Prime Suspectz fait en tout cas une très mauvaise publicité au Nasdaq qui se targue d’excellentes performances technologiques. Le porte-parole du Marché américain a tout de suite précisé que le système informatique utilisé pour les échanges d’actions n’était pas le même que celui du site Internet. Ouf, nous voilà rassurés... Enfin presque. Car il est très simple de faire bouger un titre coté en Bourse si l’on diffuse largement des informations plausibles, mais légèrement fausses, le concernant. Exemple simple : il suffirait de publier sur le site Canal Plus un vrai faux communiqué de presse prévenant que Canal Plus serait traité en marge de l’accord Vivendi/Universal pour que les titres impliqués bougent un peu. Non ? Or il est, à en croire le site Kitetoa, assez aisé de pirater le site de la chaîne cryptée... Tous aux abris ?