Deux Ukrainiens font face à des accusations concernant leur rôle dans un système international de négociation d'actions qui a commencé avec l'effraction de la paire dans les systèmes informatiques de la Securities and Exchange Commission (SEC) des États-Unis, selon des plaintes non scellées par le ministère américain de la Justice (DOJ) et la SEC la semaine dernière.

Artem Radchenko, 27 ans, et Oleksandr Ieremenko, 26 ans, tous deux de Kiev en Ukraine, ont passé six mois à parcourir le système de classement des entreprises de la SEC, à piller des informations sensibles. Ils ont par la suite utilisé leurs découvertes pour effectuer des transactions boursières illégales, en plus de les vendre à des tiers pour des transactions illicites similaires, selon les procureurs.

Le stratagème aurait possiblement mené à des gains illégitimes d'une valeur de 4,1 millions de dollars américains. Radchenko et Ieremenko font face à des accusations de piratage informatique et de fraude, tandis que les autres participants - dont deux citoyens américains et un ressortissant russe - font face à des accusations civiles déposées par la SEC.

Le DOJ a déclaré qu'entre mai et octobre 2016, Radchenko et Ieremenko ont extrait des milliers de fichiers du système EDGAR (Electronic Data Gathering, Analysis, and Retrieval) de la SEC, où les sociétés cotées en bourse téléchargent leurs documents financiers avant leur publication et peuvent affecter les cours des actions des sociétés.

La plupart des documents volés constituaient des « documents tests », c'est-à-dire des documents qui sont généralement laissés en blanc et qui servent uniquement à vérifier que tout fonctionne comme prévu. Toutefois, dans de nombreux cas, les sociétés ont téléchargé des informations réelles. Selon le DOJ, « armés des informations volées, les criminels ont profité de l'exécution de diverses transactions sur les comptes de courtage qu'ils contrôlaient. »

Selon le the Wall Street Journal (cet article peut être payant), le duo de pirates a utilisé au moins deux techniques pour percer les réseaux informatiques de la SEC. Premièrement, ils ont exploité une vulnérabilité dans EDGAR qui leur a permis d'accéder aux informations non publiques sans avoir à entrer leurs identifiants de connexion. Deuxièmement, ils ont envoyé des courriels au personnel de la SEC qui ont été usurpés pour donner l'impression qu'ils avaient été envoyés par le personnel de sécurité de la SEC. Les courriels contenaient des pièces jointes qui, une fois ouvertes, compromettaient les postes de travail à l'aide de logiciels malveillants et permettaient aux attaquants de creuser davantage dans le réseau de la SEC. Plusieurs postes de travail auraient été compromis de cette façon.

Toutes les déclarations de vol ont été téléchargées sur un serveur en Lituanie. Selon la plainte déposée par la SEC, cela a d'abord été fait manuellement, mais deux semaines après qu'Ieremenko ait envahi les systèmes de l'agence pour la première fois le 3 mai 2016, il a déployé un outil qui exfiltre automatiquement les données.

De plus, Ieremenko fait face à des accusations remontant à 2015, qui sont liées au vol de 150 000 communiqués de presse de trois sociétés de filage financier. Cette opération aurait impliqué pas moins de 32 personnes, qui auraient empoché plus de 100 millions de dollars de gains illicites sur une période de plus de cinq ans grâce au commerce des actions. Le Verge a publié l'an dernier un article long et passionnant sur cette affaire.