Une base de données confidentielle de la commission américaine des opérations boursières aurait été piratée en 2016, ceci ayant pu conduire à des transactions illégales par des hackers.
Quelques jours après le piratage d’Equifax et le vol potentiel de données personnelles et financières de 143 millions de consommateurs américains, voilà une nouvelle affaire du plus mauvais effet. La Secure & Exchange Commission (SEC), l’équivalent américain de notre Commission des Opérations Boursières (COB) aurait été piratée. Ce piratage serait intervenu en 2016 mais il n’aurait été découvert que le mois dernier le fait que des hackers aient pu utiliser les informations obtenues pour se livrer à du trading illégal.
La faille dans la base de données Edgar qui contient des millions d’informations confidentielles, en particulier sur les fusions/acquisitions, aurait eu lieu en 2016 et aurait été rapidement corrigée. Toutefois, les responsables de la commission auraient découvert voici seulement un mois que les pirates auraient pu utiliser les informations pour se livrer à des opérations de trading. Une enquête a été diligentée. Comme le souligne notre confrère Bloomberg, « infiltrer la base de données Edgar afin que certaines annonces ne soient rendues publiques est un véritable trésor pour un hacker qui souhaite se faire facilement de l’argent ».
Ce n’est pas la première fois que la base de données Edgar est compromise. En 2014 et 2015 plusieurs failles avaient été signalées, l’une permettant à des utilisateurs d’avoir accès à des informations 30 secondes avant qu’elles soient rendues publiques. 30 secondes peuvent être considérées comme une éternité à l’heure du trading à haute fréquence.
Au mois de juillet dernier, un rapport du congrès indiquait que les systèmes d’information de la SEC présentaient des risques. Le document mentionnait notamment que la SEC ne chiffrait pas suffisamment des informations sensibles, utilisait des logiciels non mis à jour, n’avait pas réussi à mettre en place un système efficace de détection des intrusions ou encore ne configurait pas correctement ses pare-feux.
L’affaire survient au plus mauvais moment dans la mesure où le nouveau patron, Jay Clayton, a indiqué que la lutte contre la cybercriminalité serait la mère des batailles sous sa mandature, laquelle a débuté le 4 janvier dernier.