Journal : Spécialiste de l'informatique banquaire...
Posté par Rémi Pannequin (Jabber id, ) le 29 janvier 2008
La semaine dernière, la plupart des dépêches sur l'affaire de la fraude à la Société générale présentaient Jerôme Kerviel comme un petit génie de l'informatique[1] :
Même le gouverneur de la banque de France s'y met[2] :
D'ailleurs, l'un de ses collègue témoigne[3] :
Et finalement, l'intéressé donne lui même un aperçu de ses talent[4] :
Alors... pour quand la généralisation de la signature des courriels ?
[1] LCI, 29/01 http://tf1.lci.fr/infos/economie/entreprises/0,,3697026,00-t(...)
[2] Reuters, 28/01 http://today.reuters.fr/news/newsArticle.aspx?type=businessN(...)
[3] ZDNet, 28/01 http://www.zdnet.fr/actualites/informatique/0,39040745,39377(...)
[4] Le Monde, 29/01 http://www.lemonde.fr/economie/article/2008/01/29/jerome-ker(...)
Avant de devenir trader, Jérôme Kerviel a travaillé plusieurs années au middle-office de la SocGen, un organe qui sert à vérifier le travail des traders. C'est ce savoir-faire qui lui aurait ensuite permis de contourner les systèmes de contrôle de la banque.
Même le gouverneur de la banque de France s'y met[2] :
Décrit par le gouverneur de la Banque de France comme un génie de la fraude et du piratage informatique [...]
D'ailleurs, l'un de ses collègue témoigne[3] :
En tant que gestionnaire au middle office référentiel, M. Kerviel connaissait parfaitement les points faibles de tous les outils front et back. Et comme il était un excellent développeur de macros sur Excel, il était capable de concevoir des outils informatiques pour "chaîner" des titres en masse dans plusieurs applications.
Et finalement, l'intéressé donne lui même un aperçu de ses talent[4] :
J'ai réalisé un faux mail en utilisant les possibilités qui me sont offertes par notre messagerie interne, à savoir une fonction qui me permet de réutiliser l'en-tête d'un mail qui m'est expédié en changeant le contenu du texte qui m'est envoyé. Il me suffisait alors de taper le texte que je souhaitais et le mail avait toute l'apparence d'un document original.
Alors... pour quand la généralisation de la signature des courriels ?
[1] LCI, 29/01 http://tf1.lci.fr/infos/economie/entreprises/0,,3697026,00-t(...)
[2] Reuters, 28/01 http://today.reuters.fr/news/newsArticle.aspx?type=businessN(...)
[3] ZDNet, 28/01 http://www.zdnet.fr/actualites/informatique/0,39040745,39377(...)
[4] Le Monde, 29/01 http://www.lemonde.fr/economie/article/2008/01/29/jerome-ker(...)
> Lire le journal (52 commentaires, moyenne: 5,7).
Vous avez demandé le commentaire #900299.
Run by 
Cette page a été générée par Templeet en 0.0781s (dont 0.0084 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Quand un financier donne son avis d'expert informatique
J'aime beaucoup cette citation
[^]Re: Quand un financier donne son avis d'expert informatique
Effectivement un grand hacker...
J'aime surtout le coup des mails !
C'est fou que dans le système bancaire ils n'ont même pas l'idée d'utiliser des certificats pour signer des mails officiels... le prix ne devrait pourtant pas être un problème pour eux !
[^]Re: Quand un financier donne son avis d'expert informatique
Un certificat ce serait bien mais une simple recherche dans les logs pour savoir si le contenu correspond a l'en-tête serait déjà suffisante.
[^]Re: Quand un financier donne son avis d'expert informatique
vive les scripts kiddie , bientôt mon neveu va se faire les fouilles grâce au macro Excel , c'est Excellent :)
Pirates informatiques des hautes mers , il a fait des macro excel et changé l'en tête de son mail , demain il va coder son propre kernel pour avoir accès a des périphériques cachés et détourner l'information ... Jayce on t'as démasquée ! :) Demain toutes les banques utiliseront MultiDeskOs à leur ainsi et le réseaux swift seront détourné pour créditer son compte :)
[^]Re: Quand un financier donne son avis d'expert informatique
Je ne sais pas si quelqu'un ici à une idée du fonctionnement d'une salle de marché, mais j'aimerais bien en savoir plus.
Par exemple j'ai du mal à comprendre comment on peut engager 50 milliards d'€ sur les marchés à termes sans allumer un clignotant quelque part.
Une macro sous Excel peut-elle réaliser ce miracle?
[^]Re: Quand un financier donne son avis d'expert informatique
Mais oui il faut comprendre avec les tableaux chainés touça !
[^]Re: Quand un financier donne son avis d'expert informatique
En fait ils ont utilisé le format OOXML de Microsoft et comme celui ci fait des erreurs de calculs dans les statistiques ca fait un trou dans la caisse , Microsoft qui à eu echo , à donner quelques milliards pour ne pas avoir de mauvaise pub pour OpenXML (surtout au moment ou on veut le faire certifier ISO , ca fait d'un coup moin sérieux ) ...
Alors la société à vite trouvé une victime (ou un complice peut etre ) et appelé les journaliste de Voici pour couvrir l'évènement et changer la donne (si ca ce trouve jérom en fait il a touché son pourcentage , même s'il affirme que l'argent ne l'intéressait pas -difficile a croire quand on est trader et qu'on courtise ;) avec la banque - )
[^]Re: Quand un financier donne son avis d'expert informatique
Y'a plus d'infos techniques ici :
http://duoandco.blogspot.com/2008/01/la-vrit-sur-la-socit-gn(...)
Les commentaires sont aussi intéressants, et expliquent un peu la faisabilité du truc.
[^]Re: Quand un financier donne son avis d'expert informatique
très intéressant je vous livre commentaire anonyme:
Aucune banque n'est sécurisée informatiquement de l'intérieur.
Les banques sécurisent les intrusions venant de l'extérieur...
La sécurité informatique emmerde tout le monde !
Récupérer les outils SQL, c'est simple....
Une recherche sur le réseau, une clé USB etc....
De toute façon les programmes de tous les logiciels sont souvent accessible a tout le monde en lecture !
Encore plus dans une salle de marché ou tout doi étre accessible rapidement !
Les mots de passe, cela emmerde aussi tout le monde !
Compter le nombre de mot de passe que vous avez .....
Infernale à gérer !
Les projets SSO (single sign on) arrivent à grand pas mais ce n'est pas encore cela !
Il y'a plusieurs années je me suis fait virer d'une mission dans une banque Asset Managment (la plus grosse en France dont je terrais le nom) parce qu'une utilisatrice me demandait de changer le mot de passe d'une de ses collègue absente !
J'ai refusé, elle s'est plainte auprès du responsable !
Je me suis retrouvé dehors sans autre forme de procès !
Alors la sécurité..... Tant que personne n'est au courant que la catastrophe vient d'un problème de sécurité informatique, personne ne fait rien !
Sinon la technique était apparement simple il suffisait que le risque au bas du tableau excell soit égale à zéro que l'on obtient bien ainsi:
50 000 000 000 - 50 000 000 000 = 0
Ce qui me pose toujours un problème c'est qu'un petit tradeur tout seul dans son coin puisse fournir une telle opération sans faire sourciller personne.
[^]Re: Quand un financier donne son avis d'expert informatique
Ce qui me pose toujours un problème c'est qu'un petit tradeur tout seul dans son coin puisse fournir une telle opération sans faire sourciller personne.
Oui ça je ne sais pas s'il y a quelqu'un pour le croire ... Surtout que ça a duré assez longtemps.
Je pense que tant qu'il gagnait, tout le monde fermait sa gueule, et puis quand il a perdu il doit assumer seul ses conneries.
Vache qui rit, à moitié dans son lit
[^]Re: Quand un financier donne son avis d'expert informatique>>>
>>> La sécurité informatique emmerde tout le monde !
.
Voilà, tout est dit.
Nous connaissons tous des grosses boîtes avec tous les comptes utilisateurs avec tous les privilêges.
Ca durera jusqu'au jour où une personne n'ayant pas la moindre idée de ce qu'elle fait flinguera des données.
Pas mal aussi le coup d'avoir bossé dans l'autre service et gardé son compte, et de continuer à l'utiliser :-)
Je ne sais pas si c'était un compte générique (backoffice par exemple) ou perso (kerviel par exemple).
J'ai l'habitude de dévalider le compte d'une personne qui quitte le service, et de changer un mot de passe générique quand une personne du service part.
Les logiciels libres ne sont pas à la portée des non-spécialistes, dit Microsoft. Si même un gendarme ou un député est capable de se servir d'un PC sous Gnu/Linux...
[^]Re: Quand un financier donne son avis d'expert informatique
Quand tu vois des 5x10^(7ou8) toute la journée, un petit 5x10^10 dois passer facilement a la trappe ;)
site perso : http://rapsys.free.fr/
[^]Re: Quand un financier donne son avis d'expert informatique
Le miracle du cachage de position ce n'est pas Excel, c'est la mauvaise habitude de mettre les mots de passe en dur dans les macros...
[^]Re: Quand un financier donne son avis d'expert informatique
il a oublie le flag "-w" pour le warning en lancant l'application.
[^]Re: Quand un financier donne son avis d'expert informatique
>>> Par exemple j'ai du mal à comprendre comment on peut engager 50 milliards d'€ sur les marchés à termes sans allumer un clignotant quelque part.
Une excellente explication très pédagogique sur le coté économique de l'affaire ici :
http://economistes.blogs.liberation.fr/chiffrage/2008/01/que(...)
[^]Re: Quand un financier donne son avis d'expert informatique
Par exemple j'ai du mal à comprendre comment on peut engager 50 milliards d'€ sur les marchés à termes sans allumer un clignotant quelque part.
D'après ce qui a été publié dans la presse, à la SG il y a des alertes lors de prises de positions dont le risque dépasse un seuil fixé mais pas sur les montants. Donc si on place un ordre de 1 sur une valeur jugée risquée, ça lève un gros warning mais si on mise 5x10^10 sur une valeur "sure" (le DAX pour JK) ça passe comme une lettre à la poste. Alors qu'on on nous parle de mécanismes de contrôles sophistiqués... Ca ou rien c'est pareil.
[^]Re: Quand un financier donne son avis d'expert informatique
Autre chose, précisé entre autre par le Canard du jour mais aussi par plusieurs commentaires que j'ai pu voir à droite à gauche, c'est que leur système de contrôle se base sur le différentiel.
Donc s'il misait + 1.000.000,01 d'un coté et -1.000.000 de l'autre, la différence étant d'un centime ça rentrait dans les limites qui lui étaient fixées (limite de 500.000€ apparemment, alors que lui est allé jusqu'à engager 50 milliards... excusez du peu)