Renseignement et internet : L’affaire Emulex
Jean-François LOEWENTHAL
De nombreuses actions criminelles ont été perpétrées sur le web depuis une décennie, amenant certaines des entreprises victimes de ces agressions à communiquer sur leurs déboires. Nous nous proposons ici d’analyser une affaire qui s’est déroulée au cours de l’été 2000. Nous allons voir en particulier comment une classique stratégie criminelle s’est adaptée aux techniques du Net.
Pour qu’une telle affaire ait lieu, il nous faut un criminel avec un motif, une victime à escroquer et un modus operandi précis. Pour que nous puissions en parler, il faut également que ce modus operandi ait comporté des failles et que la victime ait su réagir. Précisons toutefois que le criminel supposé n’a pas encore été jugé aux Etats-Unis, ce qui va suivre ne représente donc que des hypothèses de travail, déduites des nombreux articles écrits sur cette affaire.
Un criminel, un motif, une victime
Nous sommes en août 2000. Le e-krash de mars se fait encore sentir et les valeurs boursières estampillées de près ou de loin « nouvelle économie » n’arrêtent pas de connaître de nouvelles chutes. Néanmoins, certaines de ces sociétés commencent à remonter la pente.
Mark Jakob est un étudiant californien de 23 ans. Il a joué en bourse, en particulier en spéculant sur la baisse du cours de l’action de la société Emulex[1]. Cette firme est spécialisée dans le matériel pour la transmission de données par fibre optique et a effectivement connu un très fort développement.
Malheureusement pour Jakob, Emulex est une de ces sociétés dont le cours se reprend. Ayant joué sur 3 000 actions, il risque de perdre plus de 100 000 dollars. A moins, bien sûr, que l’action ne reprenne sa chute. Pour éviter la ruine, il décide alors de créer un évènement qui fasse artificiellement plonger le cours de l’action Emulex. A une époque plus ancienne, notre Jakob se serait fait Lagardère et Bossu. De nos jours, Internet simplifie toutes les démarches.
Le déclenchement de l’opération
Jakob a travaillé jusqu’à récemment pour le service d’information boursière en ligne Internet Wire[2]. Il connaît ainsi la manière dont cette société travaille, en particulier la façon dont les entreprises diffusent leurs communiqués de presse. Il rédige, en utilisant le traitement de texte Word de Microsoft (ce détail aura son importance), une dépêche de presse, censément issue du service de presse de Emulex Corp., annonçant :
– que les résultats pour le précédent trimestre, qui avaient été publiés début août conformément aux lois américaines pour les sociétés cotées, n’étaient en fait pas valides et devaient faire l’objet d’une révision à la baisse ;
– que la société Emulex était sous le coup d’une enquête menée par la Security Exchange Commission, la SEC, équivalent de notre Commission des opérations de bourse (COB) ;
– enfin que le directeur général de la société, Paul Folino, venait de démissionner.
Jakob connaît les processus internes à Internet Wire. Il téléphone au bon interlocuteur pour annoncer l’arrivée imminente de la dépêche de presse et l’expédie par courrier électronique à Internet Wire. Il effectue toutes ses manipulations Internet à partir d’un ordinateur en libre accès dans la bibliothèque de son ancienne université. Le bon protocole ayant été respecté, Internet Wire ne se soucie pas de vérifier le contenu de la dépêche. Celle-ci est publiée le 24 août 2000. Elle est très vite reprise par plusieurs services de presse, tels Bloomberg et Dow Jones. La réaction est immédiate, le cours de l’action chute rapidement, comme le montre le diagramme ci-après[3].
L’exploitation de la déstabilisation
Entre temps, Jakob est parti à Las Vegas. C’est à partir d’une chambre d’hôtel qu’il effectue ses transactions boursières, sur Internet évidemment, lesquelles lui permettent d’acheter les actions au plus bas. Par ces manipulations, il réussit en fin de journée à obtenir une plus-value de 241 000 dollars.
Autrement dit, par la simple diffusion d’un faux communiqué qui ne sera ni recoupé ni authentifié par plusieurs agences de presse, un particulier réussit à influencer de manière notable le cours d’une action en bourse.
Les réactions de la victime
Emulex réagit très vite face à cette désinformation. La société publie une dépêche en forme de démenti formel et contacte les agences de presse pour valider leur propre information. Cette dépêche sera accessible sur son site web le 25 août. L’action après une chute vertigineuse, remonte et clôturera, certes en baisse, mais dans une limite raisonnable[4].
En parallèle de ces actions de relations publiques, la société dépose plainte et fait intervenir le FBI, ainsi que la SEC. L’enquête sera menée tambour battant, et permettra l’arrestation du présumé coupable le 31 août.
L’enquête et les failles du mode opératoire
L’arrestation aussi rapide de Mark Jakob aura été rendue possible, malgré les apparences, grâce aux nombreuses « erreurs » de sécurité opérationnelle que comprenait son mode opératoire. Leur description éclaire de façon intéressante les méthodes qui sont à la disposition des forces de l’ordre pour enquêter sur de tels actes :
– le FBI a tracé la provenance du courrier électronique envoyé à Internet Wire jusqu’à l’ordinateur utilisé par Jakob. Chaque courrier électronique contient effectivement la trace complète des ordinateurs qui l’auront relayé, de l’ordinateur d’où le message est écrit jusqu’à celui où il est lu. Comme Jakob avait utilisé l’ordinateur de la bibliothèque de son ancienne université, il y était connu et le FBI n’aura pas eu de mal à obtenir des témoignages sur la présence de Jakob, sur l’ordinateur, à l’heure où le message électronique était envoyé[5] ;
– de la même façon, Jakob était un habitué de l’hôtel à partir duquel il s’est connecté pour effectuer ses transactions boursières en ligne ;
– enfin, comme nous l’avons dit ci-dessus, Jakob avait composé la fausse dépêche sur le traitement de texte Microsoft Word. Or ce logiciel insère dans chaque document créé par son intermédiaire une marque, propre à l’ordinateur utilisé. Une fois Jakob suspecté, il suffisait d’analyser la dépêche de presse initiale pour comparer l’identifiant du document Word et l’identifiant correspondant à l’ordinateur de Jakob.
Jakob risque ainsi 15 années de prison. De plus, certains actionnaires qui ont beaucoup perdu dans la panique du 24 août ont décidé d’attaquer d’une part Jakob, mais également les agences de presse qui ont relayé l’information sans la valider auparavant.
*
Cette affaire est intéressante à plus d’un titre. Elle montre un aspect de la criminalisation d’Internet, qui se base sur des ressources extrêmement peu techniques. Elle montre de même que cette criminalisation est rendue possible par l’abaissement du « facteur de difficulté » pour perpétrer un acte illégal sur Internet, et en parallèle par ce qui est souvent une mauvaise perception par les délinquants des risques qu’ils encourent, le monde virtuel brouillant aisément les pistes. Cette affaire montre enfin que les vieux ressorts de la désinformation et de la propagation de rumeurs trouvent sur le web un terrain de jeu particulièrement propice.
- [1] Emulex Corp. est côtée au Nasdaq sous le code EMLX. Son site web est http://www.emulex.com.
- [2] http://www.internetwire.com
- [3] Pour les puristes qui désireraient étudier les cours de l’action Emulex, il faut savoir que la société a organisé un split par 2 le 15 décembre 2000 (autrement dit, le cours de l’action a été divisé par deux et le nombre d’actions en circulation multiplié par deux). Les chiffres actuels que l’on trouverait aujourd’hui sur Emulex doivent donc être multipliés par 2 pour obtenir ceux d’août 2000. Les articles et documents traitant du sujet utilisent l’une ou l’autre notation, sans nécessairement préciser leur choix. Le schéma présenté est au cours actuel.
- [4] Les cours de clôture sont représentés sur le graphique ci-joint par les petites barres horizontales accolées aux grandes barres verticales.
- [5] Aucun des articles traitant du sujet ne précise si ce message était falsifié, par exemple pour ressembler à un message provenant effectivement de Emulex, ou si au contraire il ne contenait aucune forme de « camouflage ». Auquel cas l’agence Internet Wire serait doublement fautive de ne pas s’être aperçue de la manœuvre .