Kerviel, un 'hacker' ?

L’affaire Kerviel est inquiétante et le moins que l’on puisse dire est que la confiance dans le système bancaire français en ressort incroyablement ébranlé. Alors que la SoGé avait expliqué que Jérôme Kerviel aurait fait preuve d’une intelligence hors du commun, il semble en fait qu’il n’a fait qu’exploiter une faille de sécurité tellement large qu’on devrait davantage parler de gouffre. La lecture de ce billet d’AB Galiani, sur le blog d’Alain Lambert, puis de celui de Duo&Co (via Polydamas), est édifiante.

On réalise ainsi que l’exceptionnelle intelligence prétendument requise se réduit à peu de choses.

A.B. Galiani détaille un peu le boulot du trader…

« Représentons nous maintenant un trader dans une « salle des marchés ». L’application des règles du contrôle interne veut qu’il existe un montant maximal qu’il puisse passer pour une même transaction ; de même, il doit exister des « systèmes de limites », c’est à dire notamment des montants maxima par contrepartie (celui avec qui on passe contrat), par nature d’instrument, par zone géographique etc. Dès que le trader a effectué l’opération, un service, en principe proche mais qui ne dépend pas de lui, le « middle office », est informé de façon automatique et vérifie le respect des règles, puis donne son aval. Pour que la transaction soit validée, la contrepartie transmet une demande de confirmation qui reprend les caractéristiques de la transaction (nature, montant, durée, taux …) au « back office », unité totalement indépendante des précédents. Ce dernier vérifie leur exactitude, contrôle à nouveau le respect des règles (limites) et s’agissant d’opérations de couverture, vérifie l’adéquation de la transaction avec l’actif couvert et, au besoin, s’assure qu’elle s’inscrit dans les choix stratégiques arrêtés par les responsables ; ce n’est qu’une fois reconnue la conformité que la confirmation est envoyée (…) Imaginons un trader qui se livre à des transactions douteuses. Il faudrait que le middle-office ne constate rien d’anormal. Soit, admettons : la Société Générale précise que les positions prises été « annulées » par des positions fictives. Dans ce cas, il est peut être possible « d’enfumer » le middle-office qui n’a pas forcement tous les outils pour démêler le vrai du faux. En revanche, le back-office ne prend en compte que les demandes de confirmation des contreparties ; dès lors, on ne voit pas comment il peut intégrer des opérations fictives ; d’autant que celles ci doivent ressortir lors du rapprochement avec les opérations enregistrées par le middle-office ; enfin, le calcul des résultats des positions aurait du faire ressortir les pertes, lesquelles devaient conduire à des appels de marge considérables … N’oublions pas que les positions prises par le trader incriminé auraient pu atteindre 50 milliards d’€ – moitié plus que les fonds propres de la banque -. Et tout cela, sans qu’aucune des unités intervenant dans le processus ne nourrisse le moindre doute ? »

On voit donc l’importance du rôle de la contrepartie, qui permet de confirmer la réalité de la transaction passée. Donc, si nous parvenons à nous extraire d’un vocabulaire peu explicite, il semble que le fonctionnement soit le suivant : je vends ou j’achète X à 100 € à Monsieur Patate (la contrepartie), Monsieur Patate confirme que je lui acheté X à 100 €, et là, c’est validé. Si je parviens à me faire passer pour Monsieur Patate, alors, je peux parvenir à faire passer des transactions fictives.

On comprendra donc qu’il soit assez sensible d’empêcher un trader de parvenir à se faire passer pour Monsieur Patate.

Or, que lit-on sur le blog Duo&Co, qui rassemble quelques praticiens des salles de marché ?

« Le trader en question, Jérôme Kerviel, a réussi son coup à partir d’un procédé simple qui consistait à créer dans le système interne de la Société Générale de fausses contreparties, autrement dit de faux clients. Le système en question s’appelle Eliot, c’est le système central du département dérivés actions dans lequel l’ensemble des « deals » sont « bookés« . C’est forcément un système très sensible, très contrôlé par différents middle & back offices. Problème, Jérôme Kerviel était issu de ces départements et il a sans doute gardé des logins lui donnant des accès privilégiés à ce système. (j’ai moi-même gardé en tête des codes front de la maîtrise d’ouvrage donnant accès à pas mal de données…) A partir de là, il était facile pour lui de traiter sur les marchés en prenant des positions au nom de la Société Générale, des positions, bien sûr, totalement fictives car sans contreparties…. »

Des commentateurs poursuivent les explications, que l’on prendra certes avec précaution, comme d’habitude vis-à-vis de sources anonymes :

« sur la sécurité et la protection des accès : la situation est suffisament cataclysmique pour que monsieur Bertrand Lemarignier, DSI de la SGCIB, ait fait l’effort d’envoyer un mail à tous les collaborateurs de sa direction en décembre dernier pour les sensibiliser à la confidentialité des mots de passe et des login. Toute personne ayant eu l’occasion de se promener à Valmy ou Pacific n’aura pas manqué de remarquer les PostIt sur les écrans où sont notés ces informations, dans pratiquement tous les bureaux. Comme l’a dit un autre intervenant, cette situation est très fréquente en entreprise et surtout dans celles où la coercition est absente (voir mon post précédent). (…) – Sur le contrôle des accès et le maintien des comptes utilisateurs : les actions de vérification des droits sont faits non par les systèmes, mais par le support. Il y a une (charmante d’ailleurs) jeune fille qui s’occupe de valider/vérifier tous les moyens d’accès centraux pour toute la SGCIB.. et ce au niveau de RESS et non de l’informatique, qui plus est. Au niveau de chaque application, c’est la maîtrise d’ouvrage de chaque outil qui en gère droits et profils. il n’y a aucune gestion centralisée des droits d’accès dans la SGCIB. Les mouvements de personnel ne sont pas automatiquement répercutés sur les accès informatiques . Dès lors on comprend bien qu’une personne puisse continuer à avoir accès à des outils plusieurs mois après son départ du poste qui justifiait ces droits. La seule contrainte est qu’elle soit toujours dans le fichier central de RSRH qui gère tout le personnel SG. »

Ainsi, en fait d’intelligence hors norme, si ces éléments sont avérés, il semblerait que ce soit bien davantage l’incommensurable bêtise de la société qui a permis à une telle situation de se produire. Un hacker, dîtes-vous ? S’il suffit d’utiliser les login et mot de passe dont vous disposiez l’année précédente lorsque vous étiez employé par le service chargé de vérifier la réalité des ordres passés, le back-office, cela place le niveau requis de compétence informatique aux alentours du zéro.

Il est tout simplement ahurissant de constater qu’une profession aussi règlementée, disposant de plusieurs échelons de contrôle, d’une Inspection Générale, et dont tout le système repose sur la confiance, puisse se montrer aussi laxiste en termes de sécurité informatique.

Je me souviens qu’une compagnie pétrolière dans laquelle j’ai furtivement travaillé changeait les mots de passe de l’ensemble des salariés du siège chaque mois. Puisque la Société Générale dispose de plusieurs centaines de salariés entièrement dédiés au contrôle des opérations, l’un d’entre eux pourrait-il lever son petit doigt en réunion et proposer de mettre en place une telle mesure ?

Billets à peu près similaires

70 comments

  • Je ne suis pas sûre que ce soit simplement un problème de sécurité informatique. J’ai l’impression que ce sont toutes les procédures qui sont à revoir

  • Moi je suis sûr que Polydamas, London et Liberal, entre autres, vont venir rapidement nous expliquer que tout cela n’est qu’une péripétie dans le monde (presque) parfait de la finance et pourquoi il ne faut pas s’inquiéter: la main invisible veille 😉

    Tout va très bien, Madame la Marquise ……

  • @Emir

    Vous proposez quoi exactement? Une societe prive a un management douteux, des pratiques de securite laxiste. Vous voulez que l’etat edicte une loi pour dire non a ce management de pacotille, et qu’il faut changer de mot de passe regulierement ?

  • Ha, j’avais oublié Arnaud…

    Ce que je propose, ce serait un peu long à développer ici mais par exemple …. la taxe Tobin de J.Tobin ? Ou bien le SPAM de F. Lordon (voir les émissions 167 / 168 /169 sur http://dsedh.free.fr/emissions_passees.htm ) Ou encore les mesures de bon sens proposées par H.Guaino et C.Bébéar par exemple ( http://www.fondation-res-publica.org/Crises-financieres-a-repetition-quelles-explications-quelles-reponses-_a231.html )

    Qu’est-ce que vous en pensez ? Vous lisez tout ça et on en reparle ? 😉

    Sinon, plus sérieusement, la première chose à faire c’est le diagnostique de l’état de la finance mondiale (que de plus en plus de monde fait) afin de proposer des mesures pour réguler tout cela, du type de celles listées ci-dessus. Car l’épisode de la SG qui vient après (ou pendant) la crise des subprimes ne sont que des manifestations des dérèglements profonds affectant le système financier mondial et qui mèneront à une crise beaucoup plus grave si on ne fait rien.

  • Appeler Kerviel un hacker c’est peut être insulter les hackers. Kerviel est un tricheur comme le coureur cycliste qui se dope pour gagner la course sans se préoccuper de faire tomber son équipe et son sponsor.

  • Peut-être qu’une bonne protection serait déjà d’interdire tout passage de l’équipe de contrôle au trading actif .

    Sinon, cela me m’étonne absolument pas cette histoire de login/passwords non protégés, mais à mon avis quel que soit le niveau de protection un petit malin pourra toujours passer outre. Si le password change tous les mois, il y aura toujours quelqu’un pour le noter sur un post-it quelque part par exemple …

  • Par contre, pas très futé de tout revendre en bloc alors que la bourse baissait ! J’avais entendu (ou lu…) que le vendredi d’avant, le porte-feuille de Kerviel était encore légèrement bénéficiaire. Le lendemain ou sur-lendemain de la vente massive des « futures » (je crois que c’est de ça dont il s’agit ?!) par la SG où le cac avait repris presque 7%, il l’aurait sans doute été davantage. Une autre question que je me pose, ca fait beaucoup 50 milliards d’€ mobilisables par une banque, non ? J’aurai pensé qu’avec les crédits que les banques accordent, il n’aient pas autant d’argents « frais » et disponible. Et si tel est le cas, je comprendrais alors très bien que la Société Générale tolèrerait (comme le dit Kerviel) ce genre de petite magouille. J’avais aussi lu que le meme trader avait fait gagné 1,9 milliards d’€ avec le meme procédé et qu’il en était fier.

  • Mais n’existe-t-il pas de contrôles externes aux banques elle-mêmes ? EuroNexx par exemple ne vérifierait pas le volume des ordres concernant une Banque et un trader ? C’est la confiance absolue, alors ???

    Quand je pense qu’on nous fait peur avec le fisc qui disposerait d’algo poussés d’analyses probabilistiques pour déterminer des montants « bidons » sur les déclarations…

    En tout cas, une pensée particulière pour les avocats du trader : « il n’a pas voulu frauder, mais améliorer les résultats de la Banque, qui faisait un ben de 1,5% au 31/12 » ! Hé oui, comme moi… avant le 1er janvier, j’étais bénéficiaire.

  • Dans l’entreprise dans laquelle je travaille, il a fallu que je demande au service informatique de me retirer les accès que je n’avais plus vocation à avoir du fait d’un changement de fonctions.

    En effet, personne d’autre que moi ne pouvait les informer de mon changement de fonctions, personne n’ayant eu l’air de trouver utile de les informer des incessants mouvement de personnel, et surtout, des conséquences exactes en matière d’accès sur les systèmes de telle évolution de l’organigramme : perso, je ne leur en veux pas de ne pas arriver à suivre la furie réorganisatrice : personne ne semble la comprendre.

  • A noter qu’il n’a pas pris nimporte qui comme Avocat… Charrière, c’est pas le nouveau bâtonnier ?

    Et il n’ont pas collé nimporte qui comme juge d’instruction non plus… Van Ruymbecke…

  • @Emir

    A la revoila la taxe tobin… Sauf qu’il me semble que Tobin lui meme a prir enormement de distance par rapport a ceux qui promottes la taxe.

    Je crois que ce que vous qualifiez de probleme ce qui n’en ai pas un, c’est plutot que le systeme vous deplait et que vous voulez le changer pour quelque chose vous controlerez mieux.

    En reparlera quand vous aurez lu Hayek.

    Diagnostiquer? c’est ce qu’on fait, et on en apprends tout le temps . C’est pour ca qu’on a tres peu de chance de voir une grande depression.

    quel probleme voyez vous dans la « finance mondiale » terme a preciser en passant ca veux pas dire grand chose. Il y a des bourses locales, des echanges internationaux mais la finance mondiale … Les echanges de monnaies ? peut etre…

  • @Tom Roud le risque d’interdire la mobilite entre le middle et le front c’est de n’avoir que de demotive le mid et de voir les moins performant eviter de passer par la.

    C’est une bonne solution pour voir le systeme de caste dans les banques continuer…

    Moi j’en ai une meilleur, si la SG se faisait racheter par une banque americaine, ils ont pas ces problemes de middle office inexistant et sans pouvoir.

  • « Problème, Jérôme Kerviel était issu de ces départements et il a sans doute gardé des logins lui donnant des accès privilégiés à ce système. »

    Et paf, le coup classique.Tout d’un coup l’histoire deviens très credible et absolument banale au lieu d’être extra-ordinaire.

  • En tout cas la façon dont l’affaire est traitée est un formidable révélateur des pratiques et des travers des différents médias, tant traditionnels que en ligne !

    Il y a à mon sens deux grandes tendances :

    • les théoriciens qui clament que « c’est pas possible ! » en se basant sur leurs préjugés, les textes officiels, ou les principes généraux des marchés tels qu’exposés dans les livres. Ca tourne généralement à la théorie du complot ou aux affirmations hilarantes de stupidité (« remboursez les familles endettées ! »)
    • les médias de terrain, qui font appel à des praticiens qui connaissent la vraie vie, les pratiques quotidiennes des salles de marché et des services informatiques, et qui tous en gros répondent « ça ne m’étonne pas, je n’aurais pas cru que les failles puissent être exploitées à ce point, mais c’est bien comme ça que ça se passe au quotidien ».

    Je me fais de tête mon propre « hit parade » des qualités journalistiques des uns et des autres basé sur cette affaire, mais à mon avis il y aurait matière à faire une vraie étude médias sur le sujet !!

  • « et de ses clients » je crois que le bas de laine est garanti jusqu’à 40000€ et comme chacun sait il vaut mieux avoir au moins deux banques.

  • @ Koz:

    Moi aussi, je suis client chez eux, je ne suis pas sûr qu’il y en ait à se faire pour les capitaux qu’ils détiennent, les structures demeurent solides. Si tant est que les comptes soient fidèles.

    @ Yogi:

    J’ai un ami qui a bossé sur l’infrastructure informatique de la Sogé en salle de marchés qui ne comprend toujours pas comment Kerviel a fait.

  • Je ne suis pas spécialement inquiet pour mes sous, Poly. Mais je me sens plus impliqué que si je n’étais pas client. Et je déplore que leur com’ soit manifestement orientée vers les actionnaires (vers lesquels, certes, ils sont en premier lieu responsables) et assez silencieuse vis-à-vis des clients.

    Naros, apparemment, une banque n’a pas d’autre choix que d’agir comme l’a fait la Sogé, en revendant tout au plus vite. Elle ne peut pas garder des positions frauduleuses dès lors qu’elle en a connaissance. Là-dessus, en revanche, je n’ai pas le sentiment qu’elle soit critiquable.

    Epo, oui, Charrière-Bournazel, c’est l’actuel Bâtonnier de l’ordre des avocats de Paris.

  • Bon juste pour la connerie parce que je crois qu’on pourra pas en dire plus dans cette affaire avant le jugement définitif :

    Même si c’est parodique, il y a un peu de vrai…

  • Koz, le 28.01.08 à 22:09, a écrit :

    Oui, mais ça aurait limité les actes à un mois. et c’est bien ça qui est dingue, depuis combien de temps ça dure ? et evidemment pour satisfaire les tenant du conspirationnisme, combien de fois cela s’est-il produit de tels « écarts » sans qu’on n’en sache rien ? je sais pour y trouver une excitation intense à quel point la bourse peut vous emballer, et s’emballer, mais quand mème il y a un monde entre se gourer une fois sur telle ou telle position et s’enferrer dans une prise de position catastrophique et ça se dit trader ?

  • Une question: les contraintes Sarbanes-Oxley et autres LSF sont censées empêcher ce genre de choses, non? En tout cas, dans les boîtes que je connais, les auditeurs passaient pas mal de temps sur tout ce qui concernait la gestion des accès…

    Le problème n’est pas le mot de passe, c’est la gestion des accès utilisateurs. Même si le mot de passe change, si c’est son user qui avait les droits, c’était lui qui changait son mot de passe…

  • J’ai du mal à avaler cette histoire de password inchangé.

    Je n’y connais rien en systèmes bancaires mais je connais un peu les systèmes info modernes et les problématiques de contrôle d’accès aux applications.

    De nos jours, les droits d’accès aux applications (voire aux différentes parties d’une application) ne sont pas liés à la personne mais à la fonction. Ce n’est donc pas seulement un login/password, mais un login qui correspond à un user identifié dans l’annuaire LDAP de l’entreprise à un couple fonction/grade qui lui donne ou non accès à telle ou telle partie de l’application. Bref un mec qui change de fonctions garde son login/password mais n’a plus accès aux mêmes applications.

    De même, les gens ont fini par se rendre compte que les password simples étaient problématiques en terme de sécurité. Il faut les changer souvent, les gens les oublient ou les notent sur des post-it etc… Du coup, pour les applications sensibles, il existe des mécanismes plus sécurisés : carte à puce, clés transitoires, voire biométrie. J’ignore comment fonctionnent les salles de marché, mais j’ai tendance à croire que les systèmes permettant de passer ou de contrôler des positions portant sur des (dizaines de) milliards d’euros entrent dans la catégorie « sensible ».

    Bref, si les systèmes de middle et back office de la Générale appliquent des règles de sécurité et de contrôle d’accès qui faisaient déjà rigoler à l’époque de Wargames, il y a effectivement des types à la DSI qui méritent d’être fusillés 🙂

  • @effigy Moi je mettrais la main au feu: je suis sûr que c’est la première fois qu’un trader qui a une limite de 500 000 € en risque 50 milliards, c’est-à-dire 100 000 fois sa limite. Des dingues comme ça, c’est pas courant.

  • Olivier, à vrai dire (i) je n’ai pas l’intention de participer et de contribuer à un mouvement de panique que je ne pense pas justifié et (ii) j’ai comme qui dirait des doutes sur les autres banques également…

  • On peut pousser les hypothèses plus ou moins paranos encore plus loin…

    En informatique presque tout est faisable. Il est aussi possible de rétablir – créer – recréer – des droits d’accès, voire des données entières, voire des traces délibérément anciennes … à des zones informatiques sensibles … a posteriori à des évènements de ce type. Et pourquoi pas ainsi envisager de leurrer le détective-enquêteur dans une direction propre à le mettre sur une fausse piste crédible et fournie, laissant les réels fraudeurs et/ou fauteurs bien à l’ombre de toute suspicion.

    Donc, en ce domaine, l’informatique est le royaume de la manipulation potentielle, avant pendant et après tel ou tel évènement. Pour une ou des fausses pistes complètes tout autant que partielles pour couvrir et sauver certain(s), ou a contrario pour charger untel ou untel.

    Décrypter le vrai du faux de l’écheveau sera sans aucun doute une rude tâche.

    Et personne ne saura forcément la réalité…

  • Tiens au fait Koz, une réponse sur l’imputation des pertes sur l’exercice 2007 plutôt que 2008 par un expert comptable sur le blog de Duo&Co :

    « Réponse à la question sur l’obligation comptable d’imputer la perte issue de la liquidation des 50 GEUR à l’exercice 2007; c’est l’application pure et dure de la norme IAS 10 (art 9-e) qui impose de prendre en compte les pertes si elles sont significatives (on peut dire qu’elles l’étaient !!) d’un évènement survenu entre la date d’arrêté (31.12.07) et la date de clôture.SG était à qq jours de l’annonce de ses résultats (CASA avait déjà communiqué, le monoline de ses CDO Ambac avait été dégradé par Fitch, il y avait donc urgence à communiquer…)or elle ne pouvait le faire sans prendre sa perte donc en liquidant à tout prix :-1,5 GEUR le vendredi soir, -4,9 GEUR le mercredi soir… »

  • Tu vois Koz, l’article de Rue89 que lie Olivier est une parfaite illustration de ces discours du type “je suis exploité, j’ai le droit de rétablir l’équilibre » que j’évoquais sous un autre billet comme moteurs de l’égoïsme et de la défiance.

    Parmi les lecteurs de Rue89, combien sont des chefs d’entreprise? Parmi ceux-là, combien ont des relations tendues avec leur banquier? Et parmi ceux-là, combien ont subi une expérience similaire à celle qu’imagine le journal?

    Très peu, peut être aucun. Mais chacun des lecteurs de cet article en sort avec une justification morale pour un comportement nuisible.

  • @Liberal Le billet de Rue89 est tout de même très amusant, peut-être un peu verbeux vers la fin. Il ne faut surtout pas le prendre comme une justification morale d’un comportement nuisible. La Northern Rock est un type de banque très particulier propre au système britannique et cela se prête à des mouvements de panique. Par contre, ce n’est pas nouveau qu’une banque ne prête pas un seul cent à qui ce soit sans garantie et c’est ridicule d’en faire une tartine. Changer de banque n’apporte rien et c’est un emmerdement plus qu’autre chose, mais il y a beaucoup de gens qui ont envie de faire un bras d’honneur à leur banque. Dans la pratique personne le fait et la banque n’a pas grand-chose à cirer.

  • @ Koz « apparemment, une banque n’a pas d’autre choix que d’agir comme l’a fait la Sogé, en revendant tout au plus vite. Elle ne peut pas garder des positions frauduleuses dès lors qu’elle en a connaissance. Là-dessus, en revanche, je n’ai pas le sentiment qu’elle soit critiquable. »

    Les positions prises par Kerviel ne sont-elles pas frauduleuses uniquement auprès de la SG ? Auquel cas, si la banque est au courrant, elle ne risque aucune sanction et elle pourrait essayer de tirer le meilleur prix de la cession de ses positions ?!

    Ce n’est pas vraiment une critique, la décision a dû être mûrement réflechie, une fuite aurait sans doute été catastrophique pour la banque (panique sur l’action SG, difficulté à trouver du capital, risque de « délit d’initié » ou en tout cas assimilé comme tel par une partie de la population dans le cas où des actions SG aurait été vendu par des salariés de la SG, perte de confiance sur la banque) et j’imagine pour la bourse (« si la SG nous cache ses pertes – fictives tant que les positions n’ont pas été revendues -, qui nous dit que les autres banques ne le font pas également ? »), avec le risque d’entrainer dans sa baisse le secteur.

  • Oui surtout que pour un client qui quitte le LCL pour la SG on trouvera un client quittant la SG pour le LCL. On tourne en rond de toutes façons…. Et les banques prennent leurs dimes à chaque fois en frais divers, c’est finalement bonus pour elles !

    Pour l’anecdote, je viens de m’apercevoir la semaine passée que le LCL, ma banque, a désormais centralisé ses téléphones d’agences sur un 0800 national à 0,12€/mn, au lieu de l’appel local… Ben voyons, en plus on n’accède plus à son conseiller, donc il faut raconter sa vie pendant 10′ pour s’entendre dire « vote conseiller va vous rappeler très vite »…

    C’est vrai que des fois on a envie de mettre une bombe !

    Désolé pour le HS…

  • malgres la perte de 4.9 _md’€ la sg affiche quand mème 800 millions de benefice alors pas de panique, je vais pas pleurer pour eux

  • @Olivier Toujours sur le même HS. Tu quittes la banque A pour aller à la banque B. Deux mois plus tard la banque A achète la banque B et tu te retrouves au même endroit!

  • @Luc, puis-je vous demander en quoi c’est un mauvais billet ? Tout en respectant naturellement votre souhait de ne pas le commenter

  • Hum…Je crois qu’il s’est juste trompé de billet… et qu’il voulait déposer un commentaire sur un autre. Enfin bon, c’est une interprétation… C’est vrai que le propos est énigmatique et équivoque… sinon pourquoi se contredire dans les faits ?

    Luc ?

  • Quelle incompétence de la part des dirigeants ! Une semaine avant ou même une semaine, ils limitaient leurs pertes…

    Malgré cela ils sont bénéficiaires, comme quoi…

  • @ Aanil, Vi mais il faut penser à toute les familles qui viennent d’être plongées dans l’endettement suite à la perte de 5 Mds d’€ de la SocGén… dixit SR…

  • olivier les dettes sont toujours librement consenties, et la bourde de segolene ne doit pas nous faire oublier que chacun est responsable de son budget, alors arretons de pleurer sur le sort des « petits actionnaires », s’ils voulaient de la sécuritée il y avait oujours la caisse d’épargne, quand on joue en bourse c’est comme au poker, il faut assumer.

  • Bonjour,

    J’ai les gros doigts et j’ai voulu faire court, et le résultat est pire.

    Donc, j’ai préparé un commentaire sur l’orthographe de « au temps ou autant pour moi », appuyé sur le site l’académie française.

    Puis je l’ai envoyé avant de me rendre compte que je n’étais pas sous le billet approprié pour cela. Ne pouvant supprimer mon commentaire, j’ai eu le choix entre le laisser comme un cheveu sur la soupe, le vider et laisser blanc, ou poser un mot d’excuse.

    J’ai choisi la troisième voie, expliquant que ce billet n’est pas le bon pour mon commentaire, sans me rendre compte que la formulation peut laisser croire à un jugement négatif sur le travail de Koz. (London, un point)

    Pour finir, quand je suis allé sur le billet pour lequel je voulais répondre à Eponymus, j’ai vu que Koz avait déjà répondu avec le lien académie française que je voulais poser et ne suis donc pas allé plus loin.

    Désolé donc pour les contresens. Sinon, les très nombreuses fois où je ne commente pas, c’est parce que je trouve le billet meilleur que ce que je ne saurais faire. Si je trouve un jour un billet non pas mauvais, mais ne me plaisant pas, je ne priverai pas de le commenter, avec respect et argumentation.

    Sur ce bilet donc, je manque d’informations, mais je rejoins un peu Libéral. En tant qu’informaticien dans le domaine de l’exploitation (gestion des utilisateurs donc), quand une personne change de service dans une grosse structure, le nouveau chef de service pense toujours à demander l’ouverture des nouveaux droits, mais l’ancien oublie souvent de faire ôter les anciens. L’exploitant applique les procédures et répond aux demandes, mais n’est pas au fait de tout et ne peut deviner ce qui n’est pas dit. Ainsi, dans mon job actuel, un changement de service fait que mon badge me donne accès aux bâtiments du nouveau service, mais l’accès aux bâtiments de mon service précédent où je n’ai plus à aller ne m’a pas été ôté pour autant. Cela peut aider à comprendre, s’il s’avère qu’il a eu des droits de contrôler lui même son propre travail.

    Désolé pour l’erreur et le hors sujet, et mes excuses pour t’avoir choquée, Cilia.

    Luc

  • @ effigy, J’étais bien dans l’ironie vs SR ! Je ne pleure évidemment sur personne dans cette affaire … Et je suis bien en accord avec votre conclusion.

  • @Luc, Tout va bien 🙂 Ce que je croyais comprendre de ton commentaire te ressemblait si peu que je préférais mettre les pieds dans le plat. London, you’re the best ! Ceci dit, j’adhère au parti des ‘autant pour moi’…c’est grave ? 😉

  • J’aurais bien tendance à croire que le terme de hacker est largement exagéré – ça sent le terme médiatique pour faire peur.

    Les histoires de login/pwd qui sont tjs valables un an après ne m’étonnent que peu: autant la sécurité des données vers l’extérieur doit être bien vérouillée, autant la gestion des profils d’utilisateurs à l’intérieur d’une salle de marché, pour des personnes situées à un même étage, dans la même tour de La Défense peut très bien laisser à désirer.

    Ce terme de hacker n’est qu’un élément de plus à la tournure idéologique qu’a cette affaire. Car au fond l’affaire Kerviel confirme les anti-capitalistes (mais aussi les inquiets de la finance) dans leurs certitudes: la finance est un monde de fous où de jeunes ingénieurs de grandes écoles peuvent jouer avec des milliards. Tout cet argent dématérialisé inquiète et l’on aimerait pouvoir revenir au troc rassurant d’une vache pour 2 moutons 🙂

    J’avoue être un peu triste pour ce Jérôme: oui il a triché pour tenter d’avoir une très bonne performance sur son book. Et oui il a visiblement perdu les pédales au vu des sommes en jeu (enfin il faut relativiser un peu: quand on déboucle une position au mauvais moment, c’est comme vendre une action quand vous savez qu’elle est au plus bas…une perte virtuelle devient une perte réelle). Maintenant sa photo est partout dans le monde, il pourrait prendre 7 ans et une énorme amende…Pas pour avoir volé, pour avoir triché. S’il a 7 ans, ce sera dur. Pourquoi pas, mais ce que je n’aime pas, c’est que la SG semble vouloir tout lui mettre sur le dos alors que franchement il doit y avoir beaucoup de quiches qui flippent en ce moment à Valmy! Laisser passer un truc pareil sans le voir et ce sur un an, ya quand même des bras cassés dans le coin.

  • D’autant que d’un point de vue lynchage, la première photo de Jérôme Kerviel ressemble étrangement aux photos que l’on avait sur nos badges : et qui a bien pu fournir la photo à la meute à part la SG ?

  • Qui a donné la photo? J’ai entendu à la radio que la photo avait été prise avec capture d’écran sur l’intranet de la SoGé (liste des employés) est aussitôt mise sur le net. Le Times (je ne sais plus lequel) l’a capturée à son tour et après on connaît la suite.

  • Koz,

    Le billet n’est pas de M Lambert, mais de AB Galiani, qui fait regulierement des billets sur le blog d’Alain Lambert (de grande qualite pedagogique par ailleurs).

  • @liberal: sur le contrôle d’accès: en théorie, je suis d’accord, mais pour avoir vu (et voir encore) de l’intérieur les SI de plusieurs grosses boîtes (CAC40), je peux dire que celles qui sont passées à la réalisation sur ces sujets-là ne sont pas légion (sur le mode: il y en a sans doute, mais je n’en connais aucune). Elles ont toutes le projet dans les cartons, elles savent toutes qu’il y a un problème (et les audits SOx l’ont confirmé), mais de là à le lancer et surtout à le déployer à toutes les applis, il y a un grand pas qui n’a pas encore été franchi. Sûr que ce genre d’histoire va aider ces projets 🙂 sur les passwords: la CB est un très bel exemple: ça ne sert à rien de mettre en place des mots de passe complexes dans tous les sens, sinon personne ne s’en sert… ou le note ce qui est encore pire. Le SSO est là pour ça, mais on revient à ma remaruqe ci-dessus: c’est très bien, mais c’est à s’arracher les cheveux à mettre en place partout. Une fois cela mis en place en revanche, il n’y a plus qu’un seul mot de passe, qu’on peut alors facilement blinder via des systèmes type token RSA, biométrie, carte à puce, etc. Mais ça ne peut être fait qu’après coup. Tu me diras que les applis sensibles pourraient le faire en amont, mais la principale crainte étant généralement l’extérieur, on commence généralement par blinder le réseau… et après on n’a plus de budget pour le reste.

  • http://www.rue89.com/2008/01/28/allo-la-societe-generale-je-passe-vider-mon-compte

    Sur Rue89, un texte à mourir de rire, sur le principe de la réponse du berger à la bergère.

    Malheureusement, ce n’est qu’un conte 🙁

    On insiste pour faire partir D.Bouton (lourdement s’agissant de l’Etat dont ce n’est pas le rôle). Faites pas ça, malheureux ! Daniel n’est pas une caissière d’Auchamp ou Lepaclair qu’on peut virer à coups de pied pas occultes et une indemnité visible à la loupe ! S’il part, avec son indemnité pour incompétence il creuse encore plus creux le trou dans la caisse !

  • Je crois bien que la hiérarchie de Kerviel se doutait de quelque chose. Kerviel ne pouvait pas tout régulariser pour réclamer son bonus. Ce que je trouve bizarre c’est que si effectivement JK avait fait gagner à la banque plus de ce qu’il avait la possibilité de justifier sans dévoiler les risques qu’il prenait, quelqu’un a dû se demander d’où venaient les bénéfices non déclarés. Si ses supérieurs pouvaient se douter qu’il ne respectait pas tout à fait les règles, ils ne pouvaient pas imaginer à quel point il était fou et le degré de tricherie dont il était capable. C’est une affaire complètement psychédélique.

  • @liberal : « De nos jours (!), les droits d’accès aux applications ne sont pas liés à la personne mais à la fonction ». Voilà de la belle et bonne théorie. Je ne sais où ou vous avez vu ces principes appliqués, mais hélas je rejoins ylyad pour dire que les entreprises du CAC 40 (certes je ne les connais pas toutes !) n’en sont pas là.

    @Polydamas : Sur Duo

  • Il est fort ce Kerviel quand même, la Générale a eu tort de le lacher aux chiens. L’animal blessé est souvent plus dangereux qu’on ne le pense… le nettoyage de printemps aura lieu en hiver cette année à la SoGé.

    @yogi : j’ai travaillé aussi en banque de détail, toujours à la SoGé, et je peux vous affirmer qu’avec vos identifiants vous n’avez accès qu’aux applications adaptées à votre fonction. Ce n’est donc pas que de la théorie. Vous avez un système qui vous répertorie dans le système informatique globale, avec des profils automatiques qui corresponde à votre fonction. L’ajout d’autres logiciels sur votre poste de travail ne peut se faire qu’avec l’autorisation de votre service informatique.

  • @Polydamas : Je disais donc, sur DuoAndCo les billets se succèdent et les commentaires sont riches : quelle question se pose votre ami exactement ?

    @london : Les métiers et les postes de travail Agences sont généralement très normés et gérés de manière beaucoup plus « industrielle » que les postes Siège où les métiers sont moins strictement définis, les applications plus exotiques et plus nombreuses, et où bien souvent vos droits d’accès s’accumulent au lieu de se remplacer. Mais si vous connaissez une entreprise du CAC40 qui a mis en place le SSO (Single Sign On), je l’invite à animer l’atelier Cigref correspondant !

  • @ Yogi:

    Il ne vous a pas échappé que Koz avait trouvé le billet de Duo&Co via votre serviteur. En fait, mon ami se disait que pour lui, c’était impossible que les supérieurs de Kerviel n’aient pas été au courant. Et si on lit les dernières déclarations et les rumeurs de marché, on s’aperçoit que mon ami n’a pas tort dans le sens où ils étaient probablement au courant des dépassements d’engagement. Peut-être pas à un niveau de 50 milliards, mais ils savaient que leurs traders franchissaient allègrement toutes les règles de sécurité.

  • Pingback: Cariblog

  • Boff… A tout dire je ne serais pas plus surpris que ça si tout cela s’était bien passé comme décrit dans le billet de Koz. J’ai été trader pour le Credit Lyonnais pendant un an (avant de me tourner vers la fac, le trading mène à tout 😉 )… Et bien, c’est plus d’un an après mon départ que ma carte magnétique d’accès à la salle des marchés à fini par ne plus marcher… Et que mes comptes/mots de passe ont fini par être désactivés. C’était d’ailleurs rigolo de passer voir les anciens collègues sans prévenir, et d’aller prendre un café avec eux…

    Quant aux dépassements de limites, là aussi c’est assez courant. Mais en général très limité. Que les supérieurs aient su qu’il dépassait ses limites, c’est plus que probable. Mais ils ont du se dire que « bah oui, comme les autres, en discutant 5mn avec le middle il a obtenu une rallonge (non officielle, mais bon) de quelques centaines de milliers d’euros… ».

    Effectivement les activités de marchés reposent en très grande part sur la confiance entre les différents opérateurs ainsi que la vitesse, et la limite entre le contrôle efficace, qui doit exister, et le « flicage », qui nuit à l’efficacité, est assez difficile à trouver.

Les commentaires sont fermés