Face aux abus de marché, les régulateurs des marchés financiers investissent le cyberespace pour tenter de déjouer ces attaques
À travers le monde, les régulateurs développent des SupTechs (contraction des termes supervision et technology) dont le but est d'identifier les diverses infractions boursières. À partir des données enregistrées par les opérateurs de marché, les algorithmes de Machine Learning déterminent un comportement raisonnable de trader. Dès lors, tout comportement déviant de cette norme serait instantanément catégorisé comme suspect.
L'Autorité Européenne des Marchés Financiers indique dans ses derniers rapports avoir confiance dans le potentiel de ces technologies(1). Les régulateurs, notamment anglais, nord-américains et australiens, ont déjà mis en place des logiciels anti-fraude. L'AMF plaide dans ses nombreux rapports pour une coopération internationale renforcée malgré un cadre juridique qui reste encore peu adapté(2). Un certain nombre de groupes de travail sont déjà en cours (G7, Organisation Internationale des commissions de valeurs, etc.).
Les cybercriminels développent à leur tour leurs propres algorithmes malveillants en utilisant l'Intelligence Artificielle (IA)
L'IA est un domaine très vaste qui regroupe l'ensemble des théories et des techniques de programmation d'algorithmes complexes capables de simuler certains traits de l'intelligence humaine (raisonnement, apprentissage, etc.). Elle est devenue un outil au service de la cybercriminalité boursière, qui peut être définie comme l'ensemble des manquements boursiers tentés ou commis à l'encontre - ou au moyen - d'un système d'information et de communication. Les marchés financiers sont une cible de choix pour les cybercriminels. D'une part, ils ont la particularité d'être soumis à une technologie complexe qui présente de nombreuses failles. D'autre part, la finance est mondialisée, et les différentes places sont interconnectées. Par ailleurs, la multiplication des smartphones, ordinateurs portables et objets connectés, ainsi que l'enregistrement systématique des données dans le Cloud, diversifient les points d'accès potentiels pour les cybercriminels.
L'impact économique de la cybercriminalité est non négligeable. Une étude de McAfee et du CSIS(3) a évalué que la fourchette globale du coût de la cybercriminalité mondiale a évolué de 345-445 milliards d'USD en 2014 (soit 0,45 % à 0,6% du PIB mondial) à 445-600 milliards d'USD (soit 0,6 % à 0,8 % du PIB mondial) en 2017.
Au regard de ces éléments, il convient de comprendre comment procèdent les cybercriminels pour commettre des infractions boursières de plus en plus difficiles à identifier et réprimer. Nous étudierons les attaques informatiques classiques utilisées pour commettre chaque infraction boursière, ainsi que leur potentiel d'évolution à l'ère de l'IA.
Des attaques informatiques classiques ou renforcées grâce aux progrès technologiques
En premier lieu, l'IA est instrumentalisée au service des délits d'initiés. Il s'agit d'obtenir une information privilégiée sur un émetteur, i.e. une information précise, non publique et susceptible d'avoir un effet sensible sur le cours de ses titres financiers cotés, afin de réaliser des opérations boursières (article L465-1 du Code monétaire et financier). Divers acteurs économiques, tels que les banques, les cabinets d'avocats, les entreprises concernées par une future transaction, etc., sont susceptibles de disposer d'informations privilégiées.
L'étude sur la cybercriminalité boursière de l'AMF estime que ces structures sont souvent prises pour cibles dans le cadre d'attaques informatiques en vue du vol d'informations privilégiées. Le développement de l'IA a eu pour conséquence l'automatisation de ces attaques. Dans un premier temps, une fois l'information volée, le titre est acheté ou vendu avant que son cours n'évolue une fois l'information rendue publique. L'achat ou la vente de ces informations a lieu directement sur le marché noir ou via le darkweb sur des plateformes telles que « Kick Ass Market Place » ou « The Stock Insiders », qui fournissent explicitement ces informations privilégiées. Dans un second temps, la partie achetant l'information l'utilisera pour commettre un abus de marché. Nous pouvons noter que dans la plupart des cas l'attaque est financée par une autre partie au méfait.
Traditionnellement, l'attaque utilisée par les cybercriminels était le Phishing ou l' hameçonnage. Elle consiste en la diffusion de logiciels malveillants par emails, leur permettant de subtiliser des informations sensibles. Son principal objectif est à la fois de recueillir des informations privilégiées mais aussi des informations permettant de contourner les systèmes anti-fraude. Dans un rapport de janvier 2018, «Securing the Law Firm : Dark Web foot print analysis of 500 UK legal firms »(4) réalisé par une société de sécurité informatique anglaise, il est mis en évidence qu'en moyenne 2000 adresses électroniques des plus importants cabinets d'avocats britanniques sont en vente sur le darkweb.
En utilisant les technologies d'IA, les cybercriminels ont pu par la suite développer une nouvelle attaque informatique qui permet de déjouer les systèmes anti-fraude utilisés par les autorités. Il s'agit de l'attaque par inférence. Elle consiste à comprendre la programmation et la méthode d'apprentissage intelligent dudit système en lui faisant jouer une myriade de scénarios différents. Face à ces sollicitations, l'algorithme attaqué va révéler son fonctionnement, les seuils qu'il prend en compte, voire les données qu'il manipule. Les cybercriminels réalisent de nombreuses opérations pour détecter par exemple les seuils d'alerte et de blocage des transactions financières. Cela permettra, dans un second temps, de faciliter les manquements d'initiés.
L'IA est également mise au service de la manipulation de cours, définie à l'article L465-3-1 du Code monétaire et financier. La hausse des cours d'une action peut être réalisée en émettant des ordres d'achat n'ayant pas vocation à être exécutés ou en l'achetant de manière agressive à des prix de plus en plus élevés. L'objectif est de permettre aux auteurs de cette infraction de négocier des contrats à terme ou des options à leur avantage en influençant leur valeur. A cette fin les cybercriminels utilisent des logiciels de plus en plus sophistiqués pour émettre des ordres trompeurs sur le marché.
Avant le développement de l'IA, le Spoofing permettait aux hackeurs d'intercepter ou de manipuler les trafics de données circulant entre deux systèmes communiquant, et par exemple d'émettre une grande quantité d'ordres de vente sur le marché puis de les annuler quelques instants plus tard. À l'aide de l'IA, une nouvelle attaque plus redoutable s'est développée : le Poisonning. Cela consiste à fausser l'apprentissage des systèmes informatiques intelligents (machines, logiciels) afin qu'ils soient dans l'impossibilité de distinguer le « bien » du « mal ». En pratique, le but est de les corrompre à l'aide d'informations erronées pendant leur phase d'apprentissage ou de traitement des données. En effet, les techniques de Deep Learning, apparues dans les années 2010, ont considérablement accru le potentiel de calcul des algorithmes intelligents. Il s'agit de la capacité des machines et des logiciels à apprendre par eux même et se développer grâce aux données extérieures, sans que l'intervention préalable d'un expert humain soit nécessaire. Les cybercriminels ont exploité cette capacité d'apprentissage à leur avantage afin de corrompre les systèmes informatiques. Ainsi, les algorithmes chargés de détecter les infractions boursières, victimes de Poisonning, peuvent apprendre par exemple à ne pas considérer les manipulations abusives de cours comme un fait anormal qu'il convient de détecter et de contrer. Toutefois, cela reste encore relativement théorique et aucun exemple rendu public ne permet d'illustrer ce stratagème. À moins de bénéficier d'une complicité interne, la difficulté principale pour les cybercriminels est de réussir à maintenir un accès suffisamment long pour fausser l'apprentissage du logiciel, sans être interrompu ou détecté par celui-ci.
Les techniques liées à l'IA permettent aussi aux machines d'effectuer de nombreuses actions simultanées et de noyer la transaction douteuse dans un flot de transactions afin qu'il soit impossible d'en comprendre la logique. Cela rend très difficile, pour les régulateurs utilisant les méthodes traditionnelles, de reconstruire la transaction, de l'expliquer et de démontrer qu'elle était douteuse. Ainsi, quand bien même les transactions douteuses seraient identifiées, elles seraient dépourvues de valeur probante. A titre d'exemple, dans l'affaire Willner, deux traders ont usurpé de nombreux comptes de trading pour manipuler le cours d'actions, notamment de Lawson Products, Inc. en effectuant diverses transactions. Ils ont réalisé un profit de 700 000 USD .
Enfin, les cybercriminels utilisent l'IA pour la diffusion d'informations fausses ou trompeuses, réprimée par l'article L465-3-213 du Code monétaire et financier. L'affaire Vinci constitue un bon exemple de la dangerosité de la diffusion de fausses informations. Le 22 novembre 2016, un faux communiqué de presse officiel annonçant la découverte d'erreurs comptables pour un montant de 3,5 milliards d'euros, ainsi que le licenciement du directeur financier responsable, est rendu public. L'information est diffusée deux minutes plus tard par l'agence Bloomberg. Le cours de bourse de l'action Vinci chute de 19% en 7 minutes, ce qui représente un milliard d'euros de capitalisation boursière par minute. Huit minutes après la diffusion de l'information par Bloomberg, l'agence publie un démentit. L'action retrouvera presque instantanément son précédent prix.
Face aux abus de nouveaux comportements illicites favorisés par les avancées technologiques
Les avancées technologiques facilitent la manipulation et l'altération des informations diffusées sur internet et dans les médias. Par exemple, il est possible grâce à des logiciels de remplacer des visages sur une photo ou une vidéo. Il s'agit du Deepfake. Cette technologie basée sur l'IA permet de produire de fausses photos ou vidéos parfaitement crédibles qui mettent en scène des responsables politiques et d'entreprise en train de participer à des réunions virtuelles ou dans des situations qui pourraient nuire à leur réputation, ce qui n'est pas sans conséquence sur les marchés boursiers. En effet, l'image médiatique des dirigeants de sociétés peut avoir une influence sur la perception que les marchés financiers ont de leurs activités et donc sur le cours de leurs actions.
En plus de tromper l'œil humain, il est également possible de tromper les systèmes anti-fraude dans leurs analyses, au moyen d'une illusion que même l'œil humain ne pourrait pas détecter. Il s'agit de l'attaque par illusion. Gérôme Billois, partner Cybersecurity et Digital Trust chez Wavestone donne l'exemple de chercheurs américains qui ont prouvé que de simples autocollants ou un peu de peinture pouvaient transformer un panneau stop en panneau route prioritaire pour l'intelligence artificielle d'une voiture autonome(5). De même, il serait possible de tromper l'intelligence artificielle des systèmes anti-fraude au moyen de leurres. Dès lors, les cybercriminels pourront diffuser simultanément les fausses informations qui leur sont favorables sans qu'il soit possible de les identifier.Nous assistons à une course technologique où les cybercriminels, d'une part, et l'industrie financière légitime et les régulateurs, d'autre part, sont en rivalité. Un chantier majeur est le recrutement et la conservation d'ingénieurs spécialistes de l'IA/Machine Learning. Les régulateurs subissent dès lors un handicap, car plusieurs études montrent que les industries privées de la finance et de la technologie restent plus attractives financièrement pour ces profils. Or ceux-ci sont nécessaires pour développer des SupTechs performantes.
(1) LESMA, Developments in RegTech and SupTech, novembre 2018
(2) AMF, Alexandre Neyret, La cybercriminalité boursière, définition, cas et perspectives, octobre 2019
(3) MCAFEE (CSIS), Economic impact of cybercrime, février 2018 -
(4) REPKNIGHT, Securing the Law Firm: Dark Web footprint analysis of 500 UK legal firms, janvier 2018
(5) Interview de Gérôme Billois, « Sécuriser l'intelligence artificielle, il n'est pas trop tard ! », 23/03/2018 – Les Echos.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
L'EDHEC Business School dispose de deux atouts pour contribuer aux réflexions sur ces sujets. D'une part, son centre de recherche LegalEdhec, dont les travaux – reconnus – à l'intersection entre le droit et la stratégie, et portant sur le management des risques juridiques et la performance juridique, l'amènent aujourd'hui à lancer son nouveau projet A3L (Advanced Law, Lawyers and Lawyering). D'autre part, ses étudiants, et en particulier ceux de sa Filière Business Law and Management (en partenariat avec la Faculté de droit de l'Université Catholique de Lille) et de son LLM Law & Tax Management, dont la formation et les objectifs professionnels les placent au cœur de ces enjeux du digital.
