This confidential flowchart from the Société Générale will definitely help us better understand what exactly occurred in January of this year with Jérôme Kerviel. Now that we know he followed the procedure carefully, who’s to blame?
For those who may not know, « Oui = Yes » and « Non = No », the diagram is written in classical Société Générale Franglish.
Faisant suite au premier rapport de synthèse rendu mi février 2008 (et téléchargeable ici), on lira avec intérêt le deuxième (et dernier) rapport de la Mission green mise en place pour éclaircir l’affaire Kerviel, menée par le très respecté Jean-Martin Folz, ex PDG de PSA et administrateur de la Société Générale, et publié fin mai. Il passe en revue aussi bien les manipulations effectuées par le trader que les défauts de contrôle en interne et de la part des organismes externes. Vous pouvez le télécharger ici au format PDF.
Plus spécifiquement selon el Gosto, il se concentre sur les points suivants :
Du pétrole, toujours du pétrole.
On apprend ce matin que la compagnie pétrolière, fleuron de l’industrie tricolore, longtemps enviée pour son mirifique bénéfice de 13 Milliards d’Euros, fera cette année un résultat net de 1 euro.Cette perte de 13 Milliards est due aux prises de position frauduleuses d’un ingénieur du groupe, agissant seul et au delà du pouvoir d’engagement qui était normalement le sien. Chaque nuit, depuis 6 mois, il interceptait deux super tankers de brut à leur départ du champs de Moho – Bilondo, riche producteur du Golfe de Guinée, tout en surveillant la dérivation du pipe line Russie-Europe qu’il avait installé pendant ses RTT et la dizaine de têtes de puits sous-marines clandestines posées pendant ses congés d’été. Trompant la supervision active de ses supérieurs, et sans que ceux-ci aient le moindre doute, il transférait 550000 barils de brut quotidiennement dans la citerne de sa maison de banlieue, adroitement camouflée sous le jardin. Conduisant seul ses camions citernes, il n’avait jusque là pas éveillé le moindre soupçon en garant les 550 semi-remorques dans l’étroit espace sis devant sa maison.
A l’insu de son management, il écoulait les cargaisons de brut sur le marché gris, en dehors des plates-formes de trading gré à gré londoniennes, sous une fausse identité, engrangeant les profits dans un compte anonyme à Zurich.
Cet ingénieur, ancien stagiaire de l’entreprise dans une station service du périphérique parisien, a mis à profit sa connaissance approfondie des procédés de comptage des pompes pour tromper les procédures de contrôle extrêmement pointues mises en place pour éviter de telles actions.
La direction de Total affirme qu’elle n’a appris la fraude qu’au dernier moment, et que l’employé indélicat ne s’est à aucun moment personnellement enrichi aux dépens du groupe. La famille de l’ingénieur le décrit d’ailleurs comme un individu fragile et sans histoire qui avait du mal à payer le plein de kérosène de son Falcon 900. Les ressources humaines l’évaluaient comme un individu sans ambition ni génie particulier. Son gestionnaire de carrière évoque un personnage sans relief, incapable de la moindre initiative.
Le PDG rassure les actionnaires en leur signalant que, malgré ces pertes abyssales, le Groupe ressort de cette affaire renforcé, et que les réserves stratégiques de pétrole restent au plus haut. Pour le dirigeant, rien de grave dans une affaire somme toute, complètement sous contrôle et très saine. Le dividende de cette année restera donc stable, tout en accompagnant une augmentation du prix du litre de super encore indéterminée, permettant des économies de carburant favorables à l’environnement.
La revente, ce week-end de plus de 1.2 Milliards de barils a causé un impact considérable sur le marché international des hydrocarbures, accentuant par là même, dans un effet de levier immédiat, la baisse du prix du baril. Le gouvernement français assure que Total n’est pas responsable de la chute immédiate du prix à la pompe pour compenser ce redressement pharaonique.
Selon le ministère de l’Intérieur, la fraude a été découverte lors d’un contrôle de routine sur l’autoroute, lorsqu’un paysan du Quercy a été intercepté avec un jerrycan de fuel provenant d’une cargaison douteuse. Cette anomalie n’a pas échappé aux limiers de la brigade financière, qui interrogent actuellement le suspect. Il a reconnu les faits, et signale que l’ensemble de l’argent issu des transactions est certes parti en fumée, mais qu’il n’y a là aucune malversation, « de nombreux milliards de barils restant à découvrir ». Des rumeurs de rachat de Total par le groupe alimentaire allemand Lidl parcourent actuellement les places financières.
Le PDG du groupe à renoncé à son salaire des dix prochaines années, en expliquant notamment que ses 150 millions d’euros de prime de fin d’année suffiront à lui maintenir un niveau de vie proche de celui du public. La perte financière, représentant quant à elle, 10 825 000 années de SMIC, signifie qu’il sera nécessaire de réévaluer les processus de retraites et justifie un plan d’austérité sans précédent. Le milieu pétrolier se dit profondément désolé de cette perte de pétrole et jure qu’on ne l’y reprendra pas.
A en juger par la pauvreté du style d’écriture, ces deux hommes semblent plus à plaindre qu’à blâmer. Ils ressemblent à des petits enfants qui ont fait une bêtise et qui attendent dans l’angoisse que leurs parents la découvre. De combien de fessées vont-ils écoper ? (plus…)
300.
Si c’est le nom d’un film sorti récemment, c’est aussi le nombre de comptes que j’ai ouverts depuis mes débuts sur Internet. Prenant rapidement conscience de cette inflation, j’ai pris la précaution de bien définir ma stratégie de sécurité. Plusieurs niveaux de mot de passe en fonction de l’importance du service et de la réputation du site, inscription systématique de mes comptes existants dans un fichier central, authentifications successives pour accéder aux mots de passe de haut niveau… m’ont permis de structurer ma démarche de manière à toujours connaître mes logins et mots de passe pour les innombrables services auxquels j’ai souscrits.
Depuis mes tentatives fructueuses de piratage des comptes hotmails de certains amis (en les informant bien entendu de la situation) en 2003, en répondant simplement aux questions « personnelles » posées en cas d’oubli du mot de passe (exemple : nom de jeune fille de ma grand-mère, de mon chien ou couleur préférée), facilement résolvables avec un peu de business intelligence, j’ai décidé de boycotter systématiquement ce que je considère comme d’énormes failles de sécurité.
Je comprends bien que, la majorité des gens étant épicuriens lorsqu’ils créent des comptes en ligne (j’entends par là qu’ils ne se soucient pas de se souvenir encore de ses identifiants quelques mois plus tard, choisissant même parfois un mot de passe et un login différent à chaque fois), il convient de mettre en place un système simple de récupération du mot de passe (ou de création d’un nouveau mot de passe dans le cas d’hotmail). Mais honnêtement, n’est-ce pas là jouer avec le feu ?
L’affaire Société Générale a mis en évidence l’importance des droits d’accès à certaines applications. L’usurpation d’identité, rendue possible par leur politique de sécurité vraisemblablement défaillante ainsi que décrite ici par des spécialistes d’informatique bancaire, peut facilement provoquer des cataclysmes sans commune mesure avec les fraudes commises en nom propre. Inutile d’aller chercher plus loin les coupables ou, comme le proclamait Daniel Bouton, du « Génie » à passer des opérations falsifiées. Si la situation dans certaines banques est telle que présentée par les consultants en SI bancaire contribuant au blog de Duo&Co, je me vois facilemement faire la même chose que Jérôme Kerviel après quelques temps au back office (histoire d’être sûr de bien maîtriser tous les rouages), et à condition tout de même d’être dépourvu de conscience professionnelle et de sens moral. Loin de moi l’idée de polémiquer sur la culpabilité et la responsabilité de qui que ce soit, je profite en fait de ce fait économique pour arriver sur une opportunité d’innovation et de business.
Si la sécurité informatique est si critique, ce que reconnaissent déjà bon nombre de banques, d’autres acteurs des secteurs sensibles, et bien sûr les particuliers, alors plutôt que de persister sur une voie incompatible avec nos capacités humaines (mémorisation à long terme d’identifiants et de mots de passe), je pense qu’il qu’y a un marché énorme à développer une solution d’authentification qui rompe avec les méthodes actuelles et qui néanmoins soit rétrocompatible (sans quoi elle est probablement vouée à l’échec).
Voilà de quoi augmenter la productivité de manière conséquente, d’apporter une plus grande confiance dans les systèmes informatiques, et donc de générer d’humbles milliards d’euros de profits, au profit de milliards d’êtres humains. Les idées c’est bien, le concret, c’est mieux. Comment donc trouver cette solution révolutionnaire ? Je n’ai pas encore suffisamment creusé la question pour produire un business plan, mais je vois déjà quelques pistes de recherche à suivre pour atteindre l’objectif ci-dessus (un système d’authentification unique, sécurisé, portable, personnel, rétrocompatible, aux fonctionnalités transparentes, et géré par une entité indépendante).
Schématiquement, le système se présenterait de la sorte :
{Application}
Services Internet, contrôles d’accès physiques, antidémarreurs…
{/Application}
\/ /\
{Système central d’authentification}
Se positionne comme couche logicielle intermédiaire entre l’application et l’utilisateur.
1. Récupère l’événement de requête d’authentification soumis par l’application, la reconnaît (pour une fiabilité maximum et éviter le phishing par exemple, il reconnaît le certificat de sécurité signé par une autorité de confiance), établit en conséquence le niveau de sécurité minimum et maximum requis
2. Vérifie s’il dispose déjà d’une authentification valide (une authentification peut être valide pour un certain nombre de niveaux de sécurité, une certaine période de temps, un certain nombre d’application, un certain nombre de fois, selon certains critères externes comme la présence dans l’entreprise d’un collaborateur)
3. Déclenche un événement de sollicitation de l’utilisateur, le cas échéant
{/Système central d’authentification}
\/ /\
{Utilisateur}
Personne physique, Entité informatique (programme, macro, webservice…), Ensemble d’utilisateurs
Peut choisir différents niveaux d’authentification, lorsque sollicité par le SCA
0. Utilisateur déjà authentifié
1. Mot de passe bateau pour une sécurité faible, comme un code pin de téléphone
2. Mot de passe pour plusieurs niveaux de sécurité successifs, le cas échéant
3. Relevé d’identification biométrique
4. Puce matérielle contenant des éléments uniques d’authentification, non usurpables et non spoofables (cf. technologies de transmission exploitant les propriétés quantiques, algorithme de modification du cryptage à chaque lecture des informations…)
Les événements de niveau supérieur permettent d’accéder aux niveaux inférieurs. Par exemple une identification biométrique permet de s’authentifier pour n’importe quel service normalement activable par mot de passe.
{/Utilisateur}
On ne se passera donc pas des mots de passe, mais ceux-ci seront gérés par le SCA et seront composés de plusieurs centaines de bits, éventuellement moins pour des raisons de rétrocompatibilité, mais en tous les cas invisible pour l’utilisateur qui pourra utiliser des méthodes d’authentification synthéthiques (un mot de passe ou un badgeage lui permettra ainsi d’accéder à différents sites qui recevront chacun un mot de passe différent généré par le SCA, limitant ainsi les dégats en cas de mot de passe non crypté dans la base d’un récipiendaire peu scrupuleux, ce qui m’est arrivé une fois et m’a valu d’avoir mon compte eBay usurpé, et surtout d’une complexité suffisante pour déjouer les attaques par force brute (donc des centaines de bits que l’utilisateur n’est généralement pas capable de retenir). De cette manière, la rétrocompatibilité serait assurée.
Dans l’étude de l’état de l’art, on s’intéressera notamment au SSO (single sign-on), qui a déjà fait l’objet de nombreuses recherches et développements, académiques ou commerciales, et présentent de nombreuses ramifications dont certaines seront sans doutes plus pertinentes que d’autres.
Dans un prochain billet j’essaierai de détailler comment déployer ce type de système (serveur accessible par Internet ? Clef USB ? Puce intégrée dans l’architecture matérielle du périphérique ?) Si vous avez des idées, n’hésitez pas à les proposer en commentaire pour que nous puissions en discuter. La finalité, vous l’aurez compris, est qu’en cas d’aboutissement à une solution réellement novatrice, efficace, facile à mettre en oeuvre, et fiable, nous puissions passer à l’étape supérieure. Il y a là sans aucun doute un vaste marché (peut-être plus grand même que celui qui a fait la fortune de Mark Shuttleworth), la seule question est de savoir si nous saurons remporter le défi.
2 commentaires