Les procureurs fédéraux ont inculpé un homme dans le cadre d’un prétendu schéma de « hack-to-trade » qui lui aurait rapporté des millions de dollars en accédant aux comptes Office365 de dirigeants de sociétés cotées en bourse et en obtenant des rapports financiers trimestriels avant leur publication publique.
Cette action, menée par le bureau du procureur américain pour le district du New Jersey, accuse Robert B. Westbrook, citoyen britannique, d’avoir gagné environ 3,75 millions de dollars en 2019 et 2020 grâce à des échanges boursiers s’appuyant sur des informations obtenues illicitement. Après y avoir accédé, Westbrook a effectué des transactions boursières. Ces informations en avant-première lui ont permis d’agir et de tirer profit avant que le grand public n’en soit informé. La Securities and Exchange Commission (SEC) des États-Unis a déposé une action civile distincte contre Westbrook, demandant qu’il paie des pénalités civiles et restitue tous les gains mal acquis.
Achetez bas, vendez haut
« La SEC s’engage dans des efforts continus pour protéger les marchés et les investisseurs contre les conséquences de la fraude cybernétique », a déclaré Jorge G. Tenreiro, chef par intérim de l’unité des actifs cryptographiques et de la cybernétique de la SEC, dans un communiqué. « Comme le montre cette affaire, même si Westbrook a pris plusieurs mesures pour dissimuler son identité — y compris en utilisant des comptes email anonymes, des services VPN et en utilisant le bitcoin — les analyses de données avancées, le traçage des actifs cryptographiques et la technologie de la Commission peuvent déceler la fraude, même dans des affaires impliquant un piratage international sophistiqué. »
Un acte d’accusation fédéral déposé auprès du tribunal de district des États-Unis pour le district du New Jersey indique que Westbrook a piraté les comptes email de dirigeants de cinq sociétés cotées aux États-Unis. Il a réussi ces violations en abusant du mécanisme de réinitialisation des mots de passe proposé par Microsoft pour les comptes Office365. Dans certains cas, Westbrook aurait même mis en place des règles de transfert qui envoyaient automatiquement tous les emails entrants vers une adresse qu’il contrôlait.
Les procureurs ont allégué dans un incident en particulier :
Le ou vers le 26 janvier 2019, WESTBROOK a obtenu un accès non autorisé au compte email Office365 du directeur financier de la Société-1 (“Individu-1”) par le biais d’une réinitialisation de mot de passe non autorisée. Pendant l’intrusion, une règle de transfert automatique a été mise en place, conçue pour transférer automatiquement le contenu du compte email compromis d’Individu-1 vers un compte email contrôlé par WESTBROOK. Au moment de l’intrusion, le compte email compromis d’Individu-1 contenait des informations non publiques sur les bénéfices trimestriels de la Société-1, indiquant que les ventes de la Société-1 étaient en baisse.
Une fois qu’une personne a accès sans autorisation à un compte email, il est possible de dissimuler la violation en désactivant ou en supprimant les alertes de réinitialisation de mot de passe et en enterrant les règles de réinitialisation au fond des paramètres du compte.
Les procureurs n’ont pas précisé comment l’accusé avait réussi à abuser du mécanisme de réinitialisation. En général, ces mécanismes nécessitent le contrôle d’un téléphone portable ou d’un email enregistré appartenant au titulaire du compte. En 2019 et 2020, de nombreux services en ligne permettaient également aux utilisateurs de réinitialiser les mots de passe en répondant à des questions de sécurité. Cette pratique est encore utilisée aujourd’hui, mais a lentement perdu en popularité à mesure que les risques ont été mieux compris.
En obtenant des informations cruciales, Westbrook a pu prédire comment l’action d’une entreprise se comporterait une fois rendue publique. Lorsque les résultats risquaient de faire chuter les prix des actions, il plaçait des options « put », qui donnent au titulaire le droit de vendre des actions à un prix spécifique dans un délai donné. Cette pratique lui permettait de profiter lorsque les actions baissaient après que les résultats financiers deviennent publics. Lorsque des résultats positifs étaient susceptibles d’augmenter les prix des actions, Westbrook aurait acheté des actions alors qu’elles étaient encore faibles, puis les aurait revendues à un prix plus élevé.
Les procureurs ont inculpé Westbrook d’un chef de fraude boursière et de fraude électronique, ainsi que de cinq chefs de fraude informatique. Le chef de fraude boursière est passible d’une peine maximale de 20 ans de prison et de 5 millions de dollars d’amende. Le chef de fraude électronique est également passible d’une peine maximale de 20 ans de prison, avec une amende de 250 000 dollars ou le double des gains ou pertes résultant de l’infraction, selon le montant le plus élevé. Chaque chef de fraude informatique est passible d’une peine maximale de cinq ans de prison et d’une amende de 250 000 dollars ou le double des gains ou pertes résultant de l’infraction, selon le montant le plus élevé.
Le bureau du procureur américain du district du New Jersey n’a pas précisé si Westbrook a fait une première comparution devant le tribunal ou s’il a formulé un plaidoyer.
En tant que journaliste, je suis profondément préoccupé par l’impact croissant de la cybercriminalité sur nos marchés et la manière dont elle mine la confiance des investisseurs. Les conséquences de telles violations sont non seulement financières, mais aussi éthiques, nécessitant une vigilance constante de la part des autorités et des entreprises pour protéger les informations sensibles.