Le spam fait chauffer la Bourse
Le Pump & Dump est une nouvelle technique employée par les créateurs de courriers indésirables. Ces messages, diffusés à grande échelle, se présentent sous la forme de conseils boursiers, généralement non justifiés, sur l'achat d'actions. Dans ces courriels, les spammeurs font miroiter une fausse espérance de gain à leurs victimes. Contrairement au spam «traditionnel», le Pump & Dump permet, à celui qui initie une campagne, de gagner beaucoup d'argent en peu de temps, de façon totalement illégale. Mathieu Tarnus, directeur marketing chez Goto Sofware, éditeur des solutions antispam Vade Retro, suit l'évolution de la menace depuis ses premières apparitions. «Cette pratique fonctionne depuis le début d'année 2006. Mais elle a réellement pris de l'importance au cours de ces sept derniers mois», introduit-il. «Nous constatons que chaque nouvelle campagne de Pump & Dump influe sur le cours d'une action». Des actions inférieures à 1$ En pratique, les diffuseurs de Pump & Dump se procurent des titres boursiers d'une entreprise, dont la valeur unitaire est inférieure à un dollar, donc facilement spéculative. «J'ai imaginé ce que pouvait faire un spammeur pour ne pas être identifié», lance Mathieu Tarnus. «Il achète des actions plus ou moins longtemps à l'avance. Ensuite, il fractionne son investissement en plusieurs petits ordres via différents opérateurs bancaires», explique-t-il. L'objectif de cette démarche est de se faire discret vis à vis des autorités financières. Vient ensuit la création de l'e-mail, dans lequel le spammeur conseille d'acheter des actions de cette même entreprise. Le message est constitué d'une partie visible, propre au titre. Il s'agit d'un texte sur la société, le prix de l'action ou encore le potentiel de gain. L'ensemble est agrémenté de codes couleurs sensés capter l'attention du destinataire. L'e-mail comprend aussi une partie plus technique pour contourner les détecteurs de spam. Deux procédés sont employés : l'utilisation d'une image altérée de façon dynamique, ou l'insertion de cinq à dix lignes de texte inutile mais personnalisé. Objectif : tromper les outils d'analyse sémantique. Goto Software assure que son outil Vade Retro détecte les images dynamiques ainsi que les textes aléatoires intégrés à ces messages. Il est alors capable de classer le Pump & Dump comme tout autre spam à caractère sexuel ou pharmaceutique. Seul le spammeur touche le pactole La date d'expédition du message revêt un caractère hautement stratégique. La campagne est lancée en début de week-end. «Le but est de créer un effet d'annonce. Il faut que les victimes aient le temps de lire le message et de passer des ordres d'achat». Les transactions se font dès l'ouverture de la bourse, le lundi matin, où le cours de l'action impliquée s'envole. «Nous avons remarqué que le volume d'échange fluctue de façon impressionnante passant de quelques dizaines de milliers à un peu plus d'un million. Ceci prouve que le spammeur à une réelle audience et qu'il sait tromper ses victimes», souligne Mathieu Tarnus. Les personnes mal inspirées ne réalisent pas de plus-value sur leurs achats. «A l'ouverture du marché la valeur des titres est réévaluée en fonction de la demande», précise-t-il. Quelques heures après l'ouverture des marchés financiers, la valeur du titre en question chute. Les victimes prennent rapidement conscience d'une anomalie. Le fraudeur, quant à lui, se retire du marché bien avant, empochant d'importantes plus-values. Vers une pratique ciblée Pour l'instant les cybercriminels se cantonnent à des attaques en utilisant de petites valeurs très spéculatives sur le marché américain. «Le jour où ce phénomène arrivera sur le marché français, à l'instar du phishing, il sera encore plus inquiétant», prédit Mathieu Tarnus. «En effet, les français vont massivement se prendre au jeu. C'est une question de confiance. Quand nous recevons un message en français, nous avons plus tendance à le lire qu'un message étranger», explique-t-il, certain qu'un Pump & Dump à la française arrivera un jour dans nos boîtes mails. Aujourd'hui, les spammeurs misent sur le marché boursier américain, qui est une référence. Cependant, il y a fort à parier pour qu'ils jouent peu à peu sur la localisation, en utilisant, par exemple, les extensions de noms de domaine. «On peut facilement supposer que ces pratiques sont commanditées part des entreprises ou des financiers sans scrupules». Le Pump & Dump est un acte répréhensible car les informations diffusées ne sont généralement pas fondées. La Commission des opérations de bourse (COB) et l'Autorité des marchés financiers (AMF) sont les entités compétentes dans ce domaine. Mais en attendant que les gendarmes jugulent ce spam d'un nouveau genre, l'éducation restent le meilleur moyen de se prémunir contre ces attaques.
