Journal Spécialiste de l'informatique banquaire...

Posté par .
Tags : aucun
0
29
jan.
2008
La semaine dernière, la plupart des dépêches sur l'affaire de la fraude à la Société générale présentaient Jerôme Kerviel comme un petit génie de l'informatique[1] :
Avant de devenir trader, Jérôme Kerviel a travaillé plusieurs années au middle-office de la SocGen, un organe qui sert à vérifier le travail des traders. C'est ce savoir-faire qui lui aurait ensuite permis de contourner les systèmes de contrôle de la banque.

Même le gouverneur de la banque de France s'y met[2] :
Décrit par le gouverneur de la Banque de France comme un génie de la fraude et du piratage informatique [...]


D'ailleurs, l'un de ses collègue témoigne[3] :
En tant que gestionnaire au middle office référentiel, M. Kerviel connaissait parfaitement les points faibles de tous les outils front et back. Et comme il était un excellent développeur de macros sur Excel, il était capable de concevoir des outils informatiques pour "chaîner" des titres en masse dans plusieurs applications.


Et finalement, l'intéressé donne lui même un aperçu de ses talent[4] :
J'ai réalisé un faux mail en utilisant les possibilités qui me sont offertes par notre messagerie interne, à savoir une fonction qui me permet de réutiliser l'en-tête d'un mail qui m'est expédié en changeant le contenu du texte qui m'est envoyé. Il me suffisait alors de taper le texte que je souhaitais et le mail avait toute l'apparence d'un document original.


Alors... pour quand la généralisation de la signature des courriels ?

[1] LCI, 29/01 http://tf1.lci.fr/infos/economie/entreprises/0,,3697026,00-t(...)
[2] Reuters, 28/01 http://today.reuters.fr/news/newsArticle.aspx?type=businessN(...)
[3] ZDNet, 28/01 http://www.zdnet.fr/actualites/informatique/0,39040745,39377(...)
[4] Le Monde, 29/01 http://www.lemonde.fr/economie/article/2008/01/29/jerome-ker(...)
  • # Quand un financier donne son avis d'expert informatique

    Posté par . Évalué à 10.

    et comme il était un excellent développeur de macros sur Excel


    J'aime beaucoup cette citation
    • [^] # Re: Quand un financier donne son avis d'expert informatique

      Posté par (page perso) . Évalué à 10.

      Effectivement un grand hacker...

      J'aime surtout le coup des mails !
      C'est fou que dans le système bancaire ils n'ont même pas l'idée d'utiliser des certificats pour signer des mails officiels... le prix ne devrait pourtant pas être un problème pour eux !
    • [^] # Re: Quand un financier donne son avis d'expert informatique

      Posté par . Évalué à 10.

      vive les scripts kiddie , bientôt mon neveu va se faire les fouilles grâce au macro Excel , c'est Excellent :)

      Pirates informatiques des hautes mers , il a fait des macro excel et changé l'en tête de son mail , demain il va coder son propre kernel pour avoir accès a des périphériques cachés et détourner l'information ... Jayce on t'as démasquée ! :) Demain toutes les banques utiliseront MultiDeskOs à leur ainsi et le réseaux swift seront détourné pour créditer son compte :)
    • [^] # Re: Quand un financier donne son avis d'expert informatique

      Posté par (page perso) . Évalué à 6.

      Je ne sais pas si quelqu'un ici à une idée du fonctionnement d'une salle de marché, mais j'aimerais bien en savoir plus.

      Par exemple j'ai du mal à comprendre comment on peut engager 50 milliards d'€ sur les marchés à termes sans allumer un clignotant quelque part.

      Une macro sous Excel peut-elle réaliser ce miracle?
      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par . Évalué à 7.

        Mais oui il faut comprendre avec les tableaux chainés touça !
        • [^] # Re: Quand un financier donne son avis d'expert informatique

          Posté par . Évalué à 10.

          Mais oui il faut comprendre avec les tableaux chainés touça !


          En fait ils ont utilisé le format OOXML de Microsoft et comme celui ci fait des erreurs de calculs dans les statistiques ca fait un trou dans la caisse , Microsoft qui à eu echo , à donner quelques milliards pour ne pas avoir de mauvaise pub pour OpenXML (surtout au moment ou on veut le faire certifier ISO , ca fait d'un coup moin sérieux ) ...

          Alors la société à vite trouvé une victime (ou un complice peut etre ) et appelé les journaliste de Voici pour couvrir l'évènement et changer la donne (si ca ce trouve jérom en fait il a touché son pourcentage , même s'il affirme que l'argent ne l'intéressait pas -difficile a croire quand on est trader et qu'on courtise ;) avec la banque - )
      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par (page perso) . Évalué à 3.

        Y'a plus d'infos techniques ici :
        http://duoandco.blogspot.com/2008/01/la-vrit-sur-la-socit-gn(...)

        Les commentaires sont aussi intéressants, et expliquent un peu la faisabilité du truc.
        • [^] # Re: Quand un financier donne son avis d'expert informatique

          Posté par (page perso) . Évalué à 9.

          très intéressant je vous livre commentaire anonyme:
          Aucune banque n'est sécurisée informatiquement de l'intérieur.
          Les banques sécurisent les intrusions venant de l'extérieur...

          La sécurité informatique emmerde tout le monde !

          Récupérer les outils SQL, c'est simple....
          Une recherche sur le réseau, une clé USB etc....
          De toute façon les programmes de tous les logiciels sont souvent accessible a tout le monde en lecture !
          Encore plus dans une salle de marché ou tout doi étre accessible rapidement !

          Les mots de passe, cela emmerde aussi tout le monde !
          Compter le nombre de mot de passe que vous avez .....
          Infernale à gérer !

          Les projets SSO (single sign on) arrivent à grand pas mais ce n'est pas encore cela !

          Il y'a plusieurs années je me suis fait virer d'une mission dans une banque Asset Managment (la plus grosse en France dont je terrais le nom) parce qu'une utilisatrice me demandait de changer le mot de passe d'une de ses collègue absente !

          J'ai refusé, elle s'est plainte auprès du responsable !
          Je me suis retrouvé dehors sans autre forme de procès !

          Alors la sécurité..... Tant que personne n'est au courant que la catastrophe vient d'un problème de sécurité informatique, personne ne fait rien !


          Sinon la technique était apparement simple il suffisait que le risque au bas du tableau excell soit égale à zéro que l'on obtient bien ainsi:
          50 000 000 000 - 50 000 000 000 = 0

          Ce qui me pose toujours un problème c'est qu'un petit tradeur tout seul dans son coin puisse fournir une telle opération sans faire sourciller personne.
          • [^] # Re: Quand un financier donne son avis d'expert informatique

            Posté par (page perso) . Évalué à 8.

            Ce qui me pose toujours un problème c'est qu'un petit tradeur tout seul dans son coin puisse fournir une telle opération sans faire sourciller personne.

            Oui ça je ne sais pas s'il y a quelqu'un pour le croire ... Surtout que ça a duré assez longtemps.

            Je pense que tant qu'il gagnait, tout le monde fermait sa gueule, et puis quand il a perdu il doit assumer seul ses conneries.
          • [^] # Re: Quand un financier donne son avis d'expert informatique>>>

            Posté par (page perso) . Évalué à 3.

            >>> La sécurité informatique emmerde tout le monde !

            .
            Voilà, tout est dit.

            Nous connaissons tous des grosses boîtes avec tous les comptes utilisateurs avec tous les privilêges.

            Ca durera jusqu'au jour où une personne n'ayant pas la moindre idée de ce qu'elle fait flinguera des données.

            Pas mal aussi le coup d'avoir bossé dans l'autre service et gardé son compte, et de continuer à l'utiliser :-)
            Je ne sais pas si c'était un compte générique (backoffice par exemple) ou perso (kerviel par exemple).
            J'ai l'habitude de dévalider le compte d'une personne qui quitte le service, et de changer un mot de passe générique quand une personne du service part.

            Multitasking — The art of doing twice as much as you should half as well as you could.

      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par (page perso) . Évalué à 4.

        Quand tu vois des 5x10^(7ou8) toute la journée, un petit 5x10^10 dois passer facilement a la trappe ;)
      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par . Évalué à 4.

        Le miracle du cachage de position ce n'est pas Excel, c'est la mauvaise habitude de mettre les mots de passe en dur dans les macros...
      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par (page perso) . Évalué à 3.

        il a oublie le flag "-w" pour le warning en lancant l'application.
      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par (page perso) . Évalué à 5.

        >>> Par exemple j'ai du mal à comprendre comment on peut engager 50 milliards d'€ sur les marchés à termes sans allumer un clignotant quelque part.

        Une excellente explication très pédagogique sur le coté économique de l'affaire ici :
        http://economistes.blogs.liberation.fr/chiffrage/2008/01/que(...)
      • [^] # Re: Quand un financier donne son avis d'expert informatique

        Posté par . Évalué à 3.

        Par exemple j'ai du mal à comprendre comment on peut engager 50 milliards d'€ sur les marchés à termes sans allumer un clignotant quelque part.


        D'après ce qui a été publié dans la presse, à la SG il y a des alertes lors de prises de positions dont le risque dépasse un seuil fixé mais pas sur les montants. Donc si on place un ordre de 1 sur une valeur jugée risquée, ça lève un gros warning mais si on mise 5x10^10 sur une valeur "sure" (le DAX pour JK) ça passe comme une lettre à la poste. Alors qu'on on nous parle de mécanismes de contrôles sophistiqués... Ca ou rien c'est pareil.
        • [^] # Re: Quand un financier donne son avis d'expert informatique

          Posté par . Évalué à 3.

          Autre chose, précisé entre autre par le Canard du jour mais aussi par plusieurs commentaires que j'ai pu voir à droite à gauche, c'est que leur système de contrôle se base sur le différentiel.
          Donc s'il misait + 1.000.000,01 d'un coté et -1.000.000 de l'autre, la différence étant d'un centime ça rentrait dans les limites qui lui étaient fixées (limite de 500.000€ apparemment, alors que lui est allé jusqu'à engager 50 milliards... excusez du peu)
  • # Post-It et paillaisson

    Posté par (page perso) . Évalué à 10.

    Les réseaux informatiques si sécurisés soit-ils ne peuvent rien contre des post-its sur lesquels sont notés les mots de passe ou des admins qui laissent des comptes utilisateurs ouverts après le départ de leur titulaire.

    A quoi ça sert de construire le coffre-fort le plus sûr du monde si on en laisse la clef sous le paillasson ?

    Kerviel n'est pas un 'hacker' juste un opportuniste qui a eu le "manque de bol" de parier à la hausse quand ça a chuté.

    \_o<

    • [^] # Re: Post-It et paillaisson

      Posté par . Évalué à 6.

      Et bien justement, afin d'éviter le post-it, on explique aux gens que c'est pas bien....

      Dans certaines entreprises, dont je tairai les noms mais il y a aussi quelques banques, il y a régulièrement des communiqués pour dire aux employés que c'est pas bien... Mais aussi du contrôle et de l'audit, pour vérifier que tout se passe bien.

      Il y a régulièrement des tests d'intrusions (informatiques ET physiques) pour vérifier le bon fonctionnement des processus, ainsi que la réactivité des employés.

      Prévention, éducation, contrôle, ça fait aussi parti de la sécurité.

      Mais à mon avis, dans cet histoire, ce sont les départements risques et sécurité IT qui doivent se faire taper dessus, parcequ'un 'employé qui s'amuse à jouer avec 50 milliards d'euros et un fichier excel ça fait pas sérieux.

      Tiens, ça me rappelle l'histoire de Lili et Valeo avec tous ces journalistes qui nous disaient que c'était un scandale... Mais le scandale, c'est qu'elle a pu ramener chez elle des informations confidentielles en tant que simple stagiaire...

      Bref...
    • [^] # Commentaire supprimé

      Posté par . Évalué à 6.

      Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # Re: Post-It et paillaisson

        Posté par (page perso) . Évalué à 2.

        Parfaitement d'accord. D'autant que les mots de passe (sauf dans quelques secteurs critiques et vicieux) sont principalement déstinés à protéger contre les intrusions exterieurs, celles venant du réseau. Dans mon labo je peux laisser mon mot de passe sur un post-it sur mon écran. Aucun risque qu'un hacker ne viennent s'en emparer. Quant au cambrioleur il aura de toutes façons vite fait de réinitialiser manuellement le bios de la machine... c'est le hardware qui l'in téresse pas mes données.

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Post-It et paillaisson

      Posté par . Évalué à 5.

      Kerviel n'est pas un 'hacker' juste un opportuniste qui a eu le "manque de bol" de parier à la hausse quand ça a chuté.

      Non justement, il avait 1.5 milliards en positif le 31 decembre et rien ne dit qu'il n'aurait pas pu continuer. C'est parce que la Sogé a décidé de vendre tous ses actifs en 2j pendant la crise des subprimes que ils ont perdu autant (mais ils avaient pas le choix vu que les prises de positions étaient illégales et mettaient en danger l'existence de la banque).
      Par contre pour le trader c'est un cercle vicieux, plus il fait des gros profits, moins c'est possible de l'annoncer à sa hiérarchie...
  • # en tôle !

    Posté par . Évalué à 8.

    Il faut interdire derechef ce "logiciel de messagerie interne" qui permet toutes les dérives des portes ouvertes aux fenêtres sur pente glissante !

    Que font Donnedieu et Olivennes ?!
    • [^] # Re: en tôle !

      Posté par (page perso) . Évalué à 7.

      Il faut interdire derechef ce "logiciel de messagerie interne"

      Et si dans la foulée on pouvait interdire Microsoft Excel aussi, hein...
      • [^] # Re: en tôle !

        Posté par . Évalué à 4.

        Et si dans la foulée on pouvait interdire Microsoft Excel aussi, hein...

        pourquoi s'arrêter à Excel ?
        • [^] # Re: en tôle !

          Posté par . Évalué à 1.

          C'est vrai ça ! Allons au bout de nos convictions et interdisons l'informatique !
          • [^] # Re: en tôle !

            Posté par . Évalué à 6.

            et les banques \o/
          • [^] # Re: en tôle !

            Posté par . Évalué à 2.

            C'est vrai ça ! Allons au bout de nos convictions et interdisons l'informatique !

            non, Microsoft n'est pas l'informatique !





            woops ! me suis fait avoir /o\
  • # Tentative d'explication

    Posté par . Évalué à 10.

    Warning de départ : je travaillais à la SGCIB il y a moins d'un an et demi, et je travaille chez un concurrent actuellement.

    Dans un système d'information de banque d'investissement, tu as généralement un système Front et un système Back. Sur le premier, tu vas collecter les deals des différents trader, faire le pricing, gérer les données de marchés, etc... Le risque de marché se base donc sur les données de ce système. JK créait donc des transactions fictives par une méthode que je n'expliquerai pas ici qui ramenait sa position à des montants normal. Exemple : il achète 100 produits à 10 (transaction réelle), et il en vend 99 à10 (transaction fictive). Il a donc une position de 1 titre, ce qui est en dessous de ses limites.

    Le système Back va lui réaliser réellement ces transactions sur le marché et JK a des mots de passe du système lui permettant de supprimer les transactions fictives avant règlement. Le risque de marché ne se base généralement pas sur ces données car il manque des données de marché (volatilité par exemple). Comme il traite des produits listés (cad sur un marché organisé), le risque de marché est le seul qui contrôle ses positions.

    Début 2008 : le monsieur sait qu'il va être grillé. Les comptes sont remis à plat, il est impossible que sa hierarchie ne découvre pas tout dans un délai de 3 mois maxi. Il continue quand même, mais change un peu ses plans : il traite en OTC (avec une contrepartie directement et non face à un marché organisé). Le risque de contrepartie le chope en une demi-journée et après enquête on arrive au fiasco actuel. Le pot-aux-roses est découvert alors qu'il en est à une perte d'un milliard et demi environ. La banque décide logiquement de brader toute sa position qui met en péril l'intégralité de la Société Générale et perd du coup 4.9 milliards d'euros.

    Il reste beaucoup d'inconnus et d'incohérences. Par exemple : les produits achetés par JK sont des produits à appel de marge. Cela veut dire qu'un flux d'argent tombe régulièrement. Au vu de ses positions, cela fait des montants importants réguliers qu'auraient dû voir le back-office.

    En espérant que cela éclaircit le sujet.
    • [^] # Re: Tentative d'explication

      Posté par (page perso) . Évalué à 6.

      Ahhh, c'était donc bien toi : http://duoandco.blogspot.com/2008/01/la-vrit-sur-la-socit-gn(...)

      Je me disais qu'il n'yen avais pas 36, des LézardBreton ;-)

      Au passage, je vous conseille cette source très informée. On comprend pas tout, mais beaucoup de chose quand même.

      Il y a quand même un truc très bizare : J'ai du mal à comprendre comment les responsables de la SG ont pu ne pas voir que leur banque détenais plus de 50 % des futurs de DAX. Un trader expliquait ce matin sur Inter qu'il voyait bien que la SG possédait trop de titre (plus de 70% !) et que ce n'étais pas normal.
      http://www.capital.fr/actualite/Default.asp?source=AO&nu(...)

      La banque raconte que Kerviel leur aurait servi un faux, et qu'il s'en serait satisfait. Soit ils sont incompétent, soit ils ont trempés !


      A suivre...

      « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

      • [^] # Re: Tentative d'explication

        Posté par . Évalué à 3.

        J'avoue, c'était moi :)
        C'est aussi comment la Deutche Börse a fait pour ne pas voir qu'une banque avait des positions anormales à ce point. C'est de sa responsabilité de prévenir la banque.
        Ensuite, comment la SG ne l'a pas vu, on reste toujours sur les mêmes conclusions :
        - le reporting était faussé par un acte volontaire de JK
        - le reporting n'était pas assez complet pour faire remonter les incohérences (et JK le savait)
        - les contrôles de cohérence étaient connus de JK et il savait comment les contourner
    • [^] # Re: Tentative d'explication

      Posté par . Évalué à 8.

       Warning […] système Front et un système Back […] les deals […] trader […] le pricing […] le back-office 

      Y a comme un lézard… grand-breton.

      ⟶[]
      • [^] # Re: Tentative d'explication

        Posté par . Évalué à 4.

        J'avoue que je ne sais pas comment traduire Front et Back/Back-Office. Le reste, j'ai un peu abusé (y compris les fautes d'orthographe à la relecture). Après, l'anglicisme est dans la finance égale à l'informatique. Quand on travaille dans les deux, on a un discours effectivement teinté d'expressions anglophones.
        Et puis, globalement, le terme "opérateur de marché", je ne l'ai vu que chez certains journalistes bien pensants. C'est un peu comme le terme "vendeur" à la place de "sales".
        • [^] # Re: Tentative d'explication

          Posté par . Évalué à 6.

          Le vrai problème c'est que ce genre de terme, soit t'es dans le métier et tu comprends, soit tu l'es pas et ... tu comprends éventuellement un peu. Quand t'es pas spécialiste peut être que la traduction Française donne une meilleure idée, mais c'est pas évident non plus.

          Faudrait un dico technique à côté.
          • [^] # Re: Tentative d'explication

            Posté par . Évalué à 7.

            Ok, je vais tenter de définir de manière concise.
            - Front-Office : ce sont eux qui réalisent des transactions
            - Middle-Office : fais du post-traitement rapide des opérations du front, vérifie la création de produit, et valide les données de marchés
            - Back-Office : réalise la concrétisation des transactions effectués par le Front-Office
            - Trader : opérateur de marché en français. Conclut des opérations sur les marchés éléctroniques. Il fait parti du front-office.
            - Sales : "commercial". Il travaille sur du long-terme avec des clients pour leur proposer des produits sur mesure. Il fait aussi parti du front-office.
            - Pricing : calcul du P&L (profit and loss). En gros, calcul rapide du résultat (réalisé ou non réalisé) d'un trader en quotidien ou depuis le début de l'année. Calcul du prix théorique d'un produit à un instant T.
            - Deal = transaction

            Bon, c'est un dico rapide :)
            • [^] # Re: Tentative d'explication

              Posté par . Évalué à 2.

              Et le « courtier », ça n'existe plus ou ça n'a rien à voir ? :-)
              • [^] # Re: Tentative d'explication

                Posté par (page perso) . Évalué à 3.

                Le courtier se contente de mettre en relation acheteur et vendeur.

                « Il n’y a pas de choix démocratiques contre les Traités européens » - Jean-Claude Junker

              • [^] # Re: Tentative d'explication

                Posté par . Évalué à 2.

                Le courtier travaille pour l'intermédiaire d'un client, il ne fait donc pas d'investissement pour compte propre. Approximativement, un courtier est donc un type de trader.
        • [^] # Re: Tentative d'explication

          Posté par . Évalué à 2.


          Et puis, globalement, le terme "opérateur de marché", je ne l'ai vu que chez certains journalistes bien pensants.


          Moi je le vois tous les mois sur ma fiche de paye...
    • [^] # Re: Tentative d'explication

      Posté par . Évalué à 10.

      FOUTAISES !
  • # Petit Genie Hacker

    Posté par . Évalué à 10.

    La semaine dernière, la plupart des dépêches sur l'affaire de la fraude à la Société générale présentaient Jerôme Kerviel comme un petit génie de l'informatique[1] :


    C'est pas un secret : on s'est tous rendus compte du premier coup que Jerôme Kerviel, c'est en fait le pseudonyme de Jean-Kevin ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.