This confidential flowchart from the Société Générale will definitely help us better understand what exactly occurred in January of this year with Jérôme Kerviel. Now that we know he followed the procedure carefully, who’s to blame?
For those who may not know, « Oui = Yes » and « Non = No », the diagram is written in classical Société Générale Franglish.
Faisant suite au premier rapport de synthèse rendu mi février 2008 (et téléchargeable ici), on lira avec intérêt le deuxième (et dernier) rapport de la Mission green mise en place pour éclaircir l’affaire Kerviel, menée par le très respecté Jean-Martin Folz, ex PDG de PSA et administrateur de la Société Générale, et publié fin mai. Il passe en revue aussi bien les manipulations effectuées par le trader que les défauts de contrôle en interne et de la part des organismes externes. Vous pouvez le télécharger ici au format PDF.
Plus spécifiquement selon el Gosto, il se concentre sur les points suivants :
Une fois de plus, voici les mots-clefs les plus populaires et les plus savoureux cherchés par les visiteurs de ce blog. Commençons par les perles :
new sex pointions -> Faudra-t-il que je mette un bandeau « interdit aux moins de 18 ans » à l’entrée du site ?
fondation+aide au sociologue de tiers monde+2008 -> Voilà une idée pertinente : vendre l’excédent de notre stock de sociologues à des pays pauvres.
société business model innovation entrepreneuriat sociologie -> Décidemment, ils y tiennent à leur sociologie.
quel est le mayer site de rencontre -> Mais oui, vous êtes bien tombé(e), je suis sûr que vous trouverez votre âme soeur au détour d’un commentaire !
mayer avion -> Le mayer avion est l’Airbus A380.
mayer ovni -> Non, je ne suis pas un extraterrestre.
la droite mayer chiffre d’affaire -> C’est un nouveau parti politique ?
kerviel amie -> Non, je ne suis pas l’amie Kerviel.
imc et méthodes d’apprentissage de la lecture -> Voilà un sujet de thèse intéressant : comment l’alphabétisme favoriserait la croissance moyenne de l’indice de masse corporelle dans une population.
how to buy stock early in the day and flip -> Une question intéressante, n’est-ce pas ? Serait-il bien raisonnable de rendre publique une réponse ?
faillite bear stearns lingot d’or -> Quelqu’un préparerait-il un hold-up sur fond de débâcle bancaire ?
logiciel que mostafa belkhayate utilise -> Ou comment découvrir avec une simple recherche Google comment devenir milliardaire.
meilleur placement pour 200000 euros -> Contactez-moi, je peux peut-être vous aider. Honoraires réduits.
enjouy supelec -> Qui jouit à Supélec ? HEC ?
disfonctionnement d’un périphérique usb qui a dépassé les limites -> Je pense qu’un tel périphérique mérite d’être puni.
rediriger routeur espion pro -> Ho ho, y aurait-il des vilains hackers parmi les visiteurs de ce site ?
comment faire s’envoler un avion en papier -> J’aime les visiteurs qui sont aussi philosophes.
choisir prelevement liberatoire a posteriori assurance vie -> Je vais finir par proposer des services de conseil en droit fiscal ma foi.
c’est quoi un prix composition -> Je suis sûr qu’il existe des gens qui pensent que ce sont des personnes qui répondent aux questions posées à travers Google.
‘gaming is the whole thing -> Tu as tout compris !
le toubib est generaliste -> Eh oui.
mathématicien or mathématiques or maths -> Mathématiques, merci.
matrice bcg myspace -> Tiens, MySpace serait-il une nouvelle source d’information pour les marketeurs ?
perle erwin paris boutique -> Il va donc falloir que j’ouvre un store pour mes fans.
monnaies billets banque erwin -> Une raison de plus de créer mon propre pays ! Les gens me veulent en photo sur leurs billets de banque !
email contacts les geants des entreprises 2008 -> Ravi de voir que je fais partie des « geants des entreprises 2008″.
Voilà qui ne risque pas d’arranger la position de la Société Générale dans cette affaire, tandis que Jérôme a retrouvé du travail et va ainsi contribuer à abaisser les chiffres du chômage en France et dans l’OCDE.
« L’établissement allemand [l'Eurex] s’est inquiété dès le mois d’avril 2007. Il réalise alors que les transactions se font toujours sur le même poste. Autrement dit, il subodore qu’un trader de la Générale agit seul.
Mais c’est l’opération du 19 octobre 2007 qui va le conduire à tirer la sonnette d’alarme. Ce jour-là, Kerviel négocie 6 000 futures – des contrats à terme – pour une valeur de 1 milliard d’euros. Cette fois, les Allemands savent qu’un seul opérateur ne peut engager de telles sommes pour le compte de sa maison. Ce qui justifie leur courrier du 7 novembre.
La lettre d’Eurex aboutit au service d’inspection de la Société générale, avec un double à Eric Cordelle, le patron direct de Kerviel. Le responsable de l’inspection interroge alors benoîtement Kerviel lui-même. Qui fournit des éléments d’information, pour la plupart évidemment faux.
La banque répond à Eurex le 20 novembre, justifiant le volume considérable des transactions par la progression du marché et les circonstances dans lesquelles ont été passés les ordres. Eurex détecte dans ce courrier de nombreuses erreurs, en particulier sur les horaires de travail du trader.
Le 26 novembre, les Allemands relancent les Français, faisant état de la fameuse transaction de 1 milliard. La Société générale ne réagit toujours pas…
La banque réplique aujourd’hui qu’Eurex est une société commerciale qui cherche à ne pas être impliquée. Elle s’étonne également que le financier allemand se soit contenté d’un simple courrier pour dénoncer les dérives constatées. A la suite des révélations de l’enquête, une douzaine de personnes vont quitter la banque, démissionnaires ou, la plupart, licenciées. » SauvezKerviel.com
Quand on parle de supposée prise de conscience des risques inhérents à la structure actuelle du système bancaire, qui semble trop investi dans les produits dérivés (censés au départ faciliter la gestion des risques, mais qui sont devenus les jeux à gratter des prestigieux départements de trading pour compte propre de certaines banques), on ne peut que sourire en tombant sur un article datant du 8 janvier 1996, paru dans La Tribune Desfossés (ancêtre de La Tribune), suite à la faillite de la banque Barings, et qui insiste sur la place particulière occupée par la Société Générale (3,27 trillions de dollars d’activité portant sur des produits dérivés fin 1994).
Après quelque trois semaines d’existence, il est intéressant de se pencher sur les mots-clefs recherchés par les visiteurs arrivant sur ce blog, et de vérifier à quel point je suis bien référencé pour ces mots (décidemment, Google aime les blogs !).
Sans surprise, le buzz de note2be arrive en première position des champs lexicaux les plus demandés, suivi de ceux qui me recherchent personnellement (ça fait toujours plaisir), et de l’affaire Société Générale / Jérôme Kerviel, un buzz qui s’éteint doucement (ou pas).
La perle est sans conteste : « mes droits pour harcèlement moral par des professeur a l’école » ! Si l’internaute qui a cherché ce terme a besoin d’aide, je suis prêt à le coacher en récompense.
note2becom
erwin mayer
fondation erwin
erwin mayer fondation
note2be.com
rapport green societe generale
3ix
contrenote2be boycott
« inspection generale » « société générale » « mission green »
« punition collective » note2be
3ix + commentaires
affaire green societe generale
capital week
capital-week jean ducharne
critères de note2be
dh mobility modder
dh mobility modder 8
enseignement primaire méthode alpha
erwin finance
erwinmayer.com
free webmail and cpanel sign up
green societe generale
générateur de noms de société
générateur nom entreprise
indice masse corporelle remis en cause
les alpha lecture
légalité note2be.com
magento mutualise
mes droits pour harcèlement moral par des professeur a l’école
methode alpha
methode apprentissage lecture alpha
mission green société générale
mobility modder
méthode alpha
méthode de lecture alpha
not 2 be noter les prof
note au personnel pour le respect mutuel
note2be lemaitre
polemique notes professeur
polemique site note professeur
raport interne sg
rapport green inspection générale
rapport green, inspection generale, societe generale
societe generale green
fondation erwin mayer
Pour les pays, Singapour est curieusement la deuxième source de trafic (merci Youcef et Benoit).
France
Singapore
Belgium
Germany
United Kingdom
Morocco
Switzerland
Poland
United States
Canada
Nigeria
Guadeloupe
Chile
Mexico
Algeria
Sweden
Benin
Un petit merci à Google Analytics pour tout ceci.
Dans un rapport publié aujourd’hui, et curieusement intitulé « mission vert » (et non mission verte, le « green » étant postposé), l’Inspection Générale de la Société Générale revient en détail sur les opérations effectuées par Jérôme Kerviel. On y lit une foule d’informations intéressantes, pour votre culture (si vous voulez faire pareil et aller aussi en prison), je ne peux que vous le conseiller : Rapport de la Mission Green.
Ce qui choque, c’est cette courbe de P&L consolidé hors positions fictives. Au vu des risques pris dès juin 2007 par Jérôme Kerviel, qui était déjà en perte de plus de 2 milliards d’euros (comme dirait l’amie Ségolène, il aurait mieux fait d’en faire don à la Fondation Erwin Mayer), sauvé miraculeusement par le krach des subprimes en août, je ne peux que retirer tout soutien ou compassion que j’avais à son égard. Il faut vraiment être débile ou malintentionné pour en arriver là. On dirait un boursicoteur de la première heure, qui se plaît à vivre pleinement et longuement avec le marché ou contre le marché selon son humeur. Après un tel drawdown (-85% en un an sur des positions hyper spéculatives en warrants), lorsque je commençai quant à moi à « investir » en 2006, j’eus au moins le mérite de remettre en question ma « stratégie ». Là non. L’ami Kerviel, non content d’avoir effacé sa perte colossale grâce à un facteur accidentel, a joyeusement repris sa martingale, histoire de voir s’il pouvait inverser la courbe. Je doute qu’il se soit amusé à cela s’il s’était agi de ses économies.
Il n’y a plus qu’à espérer que cette déficience ne soit pas trop répandue parmi les traders. Le jeu est à somme nulle (sauf pour les courtiers qui prennent inlassablement leur prime au passage), mais cela ferait vraiment tâche qu’une telle profession soit le vivier de tant de joueurs compulsifs et magouilleurs.
Update du 24 mai : la Mission green vient de publier un second (et dernier) rapport, qui apporte de nombreuses précisions et informations nouvelles. Voir ici le post relatif.
A en juger par la pauvreté du style d’écriture, ces deux hommes semblent plus à plaindre qu’à blâmer. Ils ressemblent à des petits enfants qui ont fait une bêtise et qui attendent dans l’angoisse que leurs parents la découvre. De combien de fessées vont-ils écoper ? (plus…)
300.
Si c’est le nom d’un film sorti récemment, c’est aussi le nombre de comptes que j’ai ouverts depuis mes débuts sur Internet. Prenant rapidement conscience de cette inflation, j’ai pris la précaution de bien définir ma stratégie de sécurité. Plusieurs niveaux de mot de passe en fonction de l’importance du service et de la réputation du site, inscription systématique de mes comptes existants dans un fichier central, authentifications successives pour accéder aux mots de passe de haut niveau… m’ont permis de structurer ma démarche de manière à toujours connaître mes logins et mots de passe pour les innombrables services auxquels j’ai souscrits.
Depuis mes tentatives fructueuses de piratage des comptes hotmails de certains amis (en les informant bien entendu de la situation) en 2003, en répondant simplement aux questions « personnelles » posées en cas d’oubli du mot de passe (exemple : nom de jeune fille de ma grand-mère, de mon chien ou couleur préférée), facilement résolvables avec un peu de business intelligence, j’ai décidé de boycotter systématiquement ce que je considère comme d’énormes failles de sécurité.
Je comprends bien que, la majorité des gens étant épicuriens lorsqu’ils créent des comptes en ligne (j’entends par là qu’ils ne se soucient pas de se souvenir encore de ses identifiants quelques mois plus tard, choisissant même parfois un mot de passe et un login différent à chaque fois), il convient de mettre en place un système simple de récupération du mot de passe (ou de création d’un nouveau mot de passe dans le cas d’hotmail). Mais honnêtement, n’est-ce pas là jouer avec le feu ?
L’affaire Société Générale a mis en évidence l’importance des droits d’accès à certaines applications. L’usurpation d’identité, rendue possible par leur politique de sécurité vraisemblablement défaillante ainsi que décrite ici par des spécialistes d’informatique bancaire, peut facilement provoquer des cataclysmes sans commune mesure avec les fraudes commises en nom propre. Inutile d’aller chercher plus loin les coupables ou, comme le proclamait Daniel Bouton, du « Génie » à passer des opérations falsifiées. Si la situation dans certaines banques est telle que présentée par les consultants en SI bancaire contribuant au blog de Duo&Co, je me vois facilemement faire la même chose que Jérôme Kerviel après quelques temps au back office (histoire d’être sûr de bien maîtriser tous les rouages), et à condition tout de même d’être dépourvu de conscience professionnelle et de sens moral. Loin de moi l’idée de polémiquer sur la culpabilité et la responsabilité de qui que ce soit, je profite en fait de ce fait économique pour arriver sur une opportunité d’innovation et de business.
Si la sécurité informatique est si critique, ce que reconnaissent déjà bon nombre de banques, d’autres acteurs des secteurs sensibles, et bien sûr les particuliers, alors plutôt que de persister sur une voie incompatible avec nos capacités humaines (mémorisation à long terme d’identifiants et de mots de passe), je pense qu’il qu’y a un marché énorme à développer une solution d’authentification qui rompe avec les méthodes actuelles et qui néanmoins soit rétrocompatible (sans quoi elle est probablement vouée à l’échec).
Voilà de quoi augmenter la productivité de manière conséquente, d’apporter une plus grande confiance dans les systèmes informatiques, et donc de générer d’humbles milliards d’euros de profits, au profit de milliards d’êtres humains. Les idées c’est bien, le concret, c’est mieux. Comment donc trouver cette solution révolutionnaire ? Je n’ai pas encore suffisamment creusé la question pour produire un business plan, mais je vois déjà quelques pistes de recherche à suivre pour atteindre l’objectif ci-dessus (un système d’authentification unique, sécurisé, portable, personnel, rétrocompatible, aux fonctionnalités transparentes, et géré par une entité indépendante).
Schématiquement, le système se présenterait de la sorte :
{Application}
Services Internet, contrôles d’accès physiques, antidémarreurs…
{/Application}
\/ /\
{Système central d’authentification}
Se positionne comme couche logicielle intermédiaire entre l’application et l’utilisateur.
1. Récupère l’événement de requête d’authentification soumis par l’application, la reconnaît (pour une fiabilité maximum et éviter le phishing par exemple, il reconnaît le certificat de sécurité signé par une autorité de confiance), établit en conséquence le niveau de sécurité minimum et maximum requis
2. Vérifie s’il dispose déjà d’une authentification valide (une authentification peut être valide pour un certain nombre de niveaux de sécurité, une certaine période de temps, un certain nombre d’application, un certain nombre de fois, selon certains critères externes comme la présence dans l’entreprise d’un collaborateur)
3. Déclenche un événement de sollicitation de l’utilisateur, le cas échéant
{/Système central d’authentification}
\/ /\
{Utilisateur}
Personne physique, Entité informatique (programme, macro, webservice…), Ensemble d’utilisateurs
Peut choisir différents niveaux d’authentification, lorsque sollicité par le SCA
0. Utilisateur déjà authentifié
1. Mot de passe bateau pour une sécurité faible, comme un code pin de téléphone
2. Mot de passe pour plusieurs niveaux de sécurité successifs, le cas échéant
3. Relevé d’identification biométrique
4. Puce matérielle contenant des éléments uniques d’authentification, non usurpables et non spoofables (cf. technologies de transmission exploitant les propriétés quantiques, algorithme de modification du cryptage à chaque lecture des informations…)
Les événements de niveau supérieur permettent d’accéder aux niveaux inférieurs. Par exemple une identification biométrique permet de s’authentifier pour n’importe quel service normalement activable par mot de passe.
{/Utilisateur}
On ne se passera donc pas des mots de passe, mais ceux-ci seront gérés par le SCA et seront composés de plusieurs centaines de bits, éventuellement moins pour des raisons de rétrocompatibilité, mais en tous les cas invisible pour l’utilisateur qui pourra utiliser des méthodes d’authentification synthéthiques (un mot de passe ou un badgeage lui permettra ainsi d’accéder à différents sites qui recevront chacun un mot de passe différent généré par le SCA, limitant ainsi les dégats en cas de mot de passe non crypté dans la base d’un récipiendaire peu scrupuleux, ce qui m’est arrivé une fois et m’a valu d’avoir mon compte eBay usurpé, et surtout d’une complexité suffisante pour déjouer les attaques par force brute (donc des centaines de bits que l’utilisateur n’est généralement pas capable de retenir). De cette manière, la rétrocompatibilité serait assurée.
Dans l’étude de l’état de l’art, on s’intéressera notamment au SSO (single sign-on), qui a déjà fait l’objet de nombreuses recherches et développements, académiques ou commerciales, et présentent de nombreuses ramifications dont certaines seront sans doutes plus pertinentes que d’autres.
Dans un prochain billet j’essaierai de détailler comment déployer ce type de système (serveur accessible par Internet ? Clef USB ? Puce intégrée dans l’architecture matérielle du périphérique ?) Si vous avez des idées, n’hésitez pas à les proposer en commentaire pour que nous puissions en discuter. La finalité, vous l’aurez compris, est qu’en cas d’aboutissement à une solution réellement novatrice, efficace, facile à mettre en oeuvre, et fiable, nous puissions passer à l’étape supérieure. Il y a là sans aucun doute un vaste marché (peut-être plus grand même que celui qui a fait la fortune de Mark Shuttleworth), la seule question est de savoir si nous saurons remporter le défi.
Le blog Duo&Co a repris et commenté les déclarations de Jérôme Kerviel concernant ses opérations :
http://duoandco.blogspot.com/2008/01/jrme-kerviel-reconstitution-des-faits.html
A défaut d’éléments contradictoires, il semble que les thèses relatives aux subprimes soient désormais à écarter. Vu les explications concernant le back et le middle office, je conçois tout à fait que ce trader ait pu ainsi déjouer les protections. Fait notable, il apparaît que les pertes ont été réalisées seulement début janvier 2008 ! L’année 2007 fut quant à elle fastueuse pour ce trader (1,4 milliard de profit soit un quart du bénéfice global du groupe). Je m’imagine tout à fait à sa place (surtout en 2007 , même si depuis mes pertes instructives lors de mes débuts sur les marchés, j’ai pris mes distances avec le trading directionnel.
A ce sujet, je ne saisis toujours pas pourquoi personne jusqu’à présent n’a reproché à Jérôme Kerviel d’avoir dévié de ses prérogatives d’arbitragiste (un arbitragiste n’est pas censé prendre des positions à la hausse ou à la baisse !) pour devenir trader exotique voire prop trader. Qu’il ait couvert ses opérations de manière fictive est une chose, qu’il les ait couvertes avec des opérations appartenant d’un domaine du trading qui n’était pas le sien aurait dû dès le départ (début 2007) interpeller le back office. A moins qu’il n’y ait eu de complaisance délibérée. Quand on ne trade pas avec son argent, le risque n’a jamais la même signification et au vu des bonus escomptés, le jeu peut en valoir la chandelle.
1 commentaire