Un marché de hackers?

Quelques minutes plus tard, des réfutations en tous sens ont inondé Twitter. Les journalistes présents à la Maison Blanche tweetèrent qu'ils n’avaient ressenti aucune explosion et les journalistes d'AP ainsi que le compte Twitter AP Politics annoncèrent que @AP avait été piraté. Lors de son briefing d'après-midi, l’attaché de presse de la Maison Blanche Jay Carney confirma que M. Obama était effectivement sain et sauf. Les marchés financiers revinrent enfin à leur niveau d'avant-canular.

Le piratage du compte Twitter @AP représente un risque systémique qui ne peut pas être éliminé, car il découle de l'interaction de marchés financiers hautement intégrés et d’une fourniture d’information de plus en plus démocratisée. Compte tenu des fortes incitations pour des parties malicieuses à perpétrer de tels canulars, nous devrions nous attendre à voir une augmentation du nombre de ce genre d'incidents.

Les marchés financiers sont vulnérables à la manipulation, parce qu'ils ne sont pas dans le domaine de l'évaluation de la vérité. La bourse favorise souvent les pionniers, de telle sorte qu’être rapide mais avoir tort peut encore être rentable.

Imaginez qu'une entreprise de trading sophistiquée ait investi des ressources considérables pour développer un algorithme qui évalue rapidement l'impact potentiel sur le marché des nouvelles, puis envoie automatiquement des ordres d’échange en fonction de l'impact prévu. Lorsque cet algorithme analyse un tweet de l'AP contenant des mots clés importants (explosion, Maison Blanche et Obama), il va envoyer des ordres de vente avec l'espoir que le marché chutera lorsque d'autres – d’abord, des algorithmes plus lents, puis des humains encore plus lents – commencent à réagir aux mêmes nouvelles.

Le premier acteur se livre volontiers à ces opérations sans vérifier que les nouvelles sont vraies. Si elles le sont effectivement, le marché restera faible ou continuera à chuter, et le premier acteur réalisera un profit sur les ventes qu'il a faites. Si l'histoire est un canular, le marché reviendra probablement à son niveau précédent, correctement valorisé ; le premier acteur recoupera ses ventes et tirera même peut-être profit de toute position achetée en couverture lorsque le marché était en baisse. L'algorithme du premier acteur aura fonctionné, indépendamment de la véracité de l'histoire.

Les perdants probables dans le canular @AP ont été les acteurs tardifs, qui n'ont pas réagi rapidement à la nouvelle mais ont réagi au contraire au mouvement du marché. Probablement, ces acteurs tardifs étaient aussi des traders électroniques ou institutionnels sophistiqués ; certains avaient probablement recours à des stratégies d'arbitrage qui utilisent le marché à terme pour calculer le prix juste.

La vulnérabilité du marché aux fausses nouvelles est donc difficile à éliminer car elle est inhérente à sa structure. Elle ne peut pas être éliminée par la régulation, ni par la technologie ou de surveillance.

Même si les marchés réagissaient plus lentement, il y aurait toujours un premier acteur pour réagir avant qu’une telle information soit révélée fausse. Cette dynamique est similaire à celle d'une bulle des actifs, mais en plus rapide. Dans une bulle, les évaluations sont fondées sur des preuves évaluées collectivement, et ceux qui entrent sur le marché le plus tôt sont souvent les gagnants. Qu’il s’agisse d'évaluer une hypothèse au sujet de la hausse des prix de l'immobilier ou le bien-fondé d’une nouvelle, le marché ne fournit pas de réponse définitive instantanément.

Si la protection contre les canulars n'est pas du ressort du marché, est-ce que les agences de presse ou les nouvelles entités médiatiques comme Twitter peuvent prévenir une telle tromperie ? Il ne fait aucun doute que leur réputation a souffert de ce fiasco et qu’elles chercheront probablement à améliorer la situation. Mais leurs efforts ne seront pas suffisants.

Les vulnérabilités de Twitter étaient comprises techniquement avant cet événement, et le service se dirigeait déjà vers un modèle d'authentification plus sophistiqué (un mot de passe couplé à une clé à usage unique reçue via un texto ou un autre appareil). Twitter va probablement le mettre en œuvre bientôt. Il devrait également envisager d'ajouter un système optionnel «deux touches», dans lequel une autorisation indépendante au départ d'un compte séparé serait nécessaire avant qu’un tweet proposé soit diffusé. Mais, bien que de telles mesures augmenteraient la difficulté de piratage du système, aucune solution technologique ne peut le rendre impénétrable.

Qu'en est-il des vulnérabilités de l'AP ? Les attaquants ont lancé une tentative de «phishing» contre le service de messagerie électronique de l'AP peu de temps avant que le faux tweet soit envoyé. Les attaques de phishing, qui dupent un salarié pour le convaincre d’envoyer un mot de passe à un tiers ou de cliquer sur un lien non sécurisé qui installe un logiciel malveillant, représentent un mélange d'échecs culturel et technologique.

Les attaquants deviennent plus sophistiqués et envoient des courriels de mieux en mieux réalisés, se faisant parfois passer pour une source de confiance qui attire les utilisateurs imprudents. L'élaboration d'une culture de la sécurité est difficile et souvent en contradiction avec l'environnement de travail dynamique et décentralisé d'une rédaction rapide.

Il faut que la conscience des vulnérabilités avance à la même vitesse que le développement technologique, et cette prise de conscience doit être diffusée par d’autres moyens que les mémos d’entreprise qui sont déconnectés des réalités du travail quotidiennes. Empiriquement, peu d'entreprises y parviennent de manière satisfaisante : la National Public Radio des USA et la BBC ont tous deux été récemment piraté par le SEA, tandis que les comptes Twitter de McDonalds et Burger King ont récemment étés compromis. La prolifération des failles de sécurité signifie que les gens sont plus susceptibles de hausser les épaules que de poser la première pierre du changement dans une société qui est violée.

Enfin, il est peu probable que l'AP soit pénalisée financièrement pour cette erreur. Une action en justice pour les pertes découlant du faux tweet ferait face à des obstacles quasiment insurmontables.

Parce que peu de mécanismes peuvent empêcher la prolifération des faux tweets faux, et compte tenu de la réponse de grande envergure à laquelle des pirates qui réussissent peuvent s'attendre, Twitter restera un véhicule de canulars malveillants, même si que les barrières technologiques rendent les attaques plus difficiles. En effet, la SEC a récemment approuvé l'utilisation des médias sociaux comme Facebook et Twitter pour la divulgation d’informations aux investisseurs par les entreprises cotées en bourse. Imaginez ce qui pourrait arriver si @BP_America tweetait : « # Explosion signalée dans un puits du Golfe. Détails à suivre. »

Les incitants à tenter de pirater ces comptes sont évidents : non seulement un grand coup de publicité pour les pirates, mais aussi des opportunités de profit très lucratives grâce aux mouvements boursiers qui en résulteront presque inévitablement. Sur Twitter, comme ailleurs, caveat emptor (aux périls de l’acheteur).

Traduit de l’anglais par Timothée Demont

© Project Syndicate