Jérôme Kerviel aurait profité des défaillances de la politique de sécurité informatique

Publié le par Adriana EVANGELIZT

Donc ce n'est pas un génie mais un débrouillard...

Société générale :

Jérôme Kerviel aurait profité des défaillances

de la politique de sécurité informatique

par Christophe Guillemin

Znet

Analyse - Le trader à l’origine de la fraude record de 5 milliards d’euros aurait simplement exploité les lacunes de la politique de sécurité de la Société Générale. Des identifiants et mots de passe permettant l'accès à des applications sensibles n’étaient pas changés régulièrement.

Quatre jours après la révélation de la « fraude interne » ayant coûté 4,9 milliards d'euros à la Société générale, Jérôme Kerviel est mis en examen, ce lundi 28 janvier (*).  Si l'on ignore encore dans le détail comment ce trader a pu creuser une telle perte, on sait désormais que certaines informations diffusées, dans les premières heures de l'affaire, sont inexactes. En particulier celle le présentant comme « un petit génie de l'informatique » qui a réussi à détourner le fonctionnement d'Eliot, le nom du système d'information de la salle de marché.

Dans sa  « Note explicative concernant la fraude exceptionnelle » publiée le 27 janvier, la banque révèle les détails du « Mode opératoire de la fraude ». Parmi les techniques qu'aurait utilisées Jérôme Kerviel, elle indique une usurpation des « codes d'accès informatiques appartenant à des opérateurs pour annuler certaines opérations »

Une politique de sécurité défaillante 

Rien à voir donc avec les compétences d'un expert maîtrisant des connaissances informatiques avancées. Ces codes informatiques, des identifiants et des mots de passe lui donnant un accès privilégié à certaines parties du système d'information, l'homme les a obtenus entre 2000 et 2005 à l'époque où il travaillait au middle-office, le département qui contrôle justement les traders, poursuit la banque.

Le site du quotidien économique québécois Les Affaires cite un ancien collègue (qui a requis l'anonymat) de Jérôme Kerviel : « En tant que gestionnaire au middle office référentiel, M. Kerviel connaissait parfaitement les points faibles de tous les outils front et back. Et comme il était un excellent développeur de macros sur Excel, il était capable de concevoir des outils informatiques pour "chaîner" des titres en masse dans plusieurs applications. »

La cause de la plus grande fraude bancaire de l'histoire serait donc ramenée à une affaire, on serait tenté de la qualifier de banale, de politique de sécurité informatique mal appliquée : des applications logicielles sensibles protégées par un système de login/password défaillant. Une hypothèse reprise à leur compte par plusieurs témoignages publiés sur le blog Duo&Co qui publie une notre très bien informée sur l'affaire.

« Nous allons probablement être amenés à renforcer la Muraille de Chine, la très stricte séparation de façon pratique et opérationnelle entre le front office et le middle et le back office » a déclaré aujourd'hui, le gouverneur de la Banque de France, Christian Noyer. « S'il y a eu utilisation, par quelqu'un du front office, de codes qui étaient dans les parties surveillance et contrôle, c'est tout à fait anormal. »

Pourquoi les identifiants et mots de passe n'ont pas été régulièrement changés ? Contacté par ZDNet.fr sur ce point, la Société générale n'a pas répondu à nos appels.

(*) La banque attaque son employé pour « faux en écritures de banque, usage de faux et intrusions informatiques ».

Sources ZNet

Posté par Adriana Evangelizt

Commenter cet article