[ Eliot, une bouse logicielle ? ]
On sait pas tout sur l’histoire Jerôme K. Mais ce qui semble se profiler, c’est qu’Eliot est un système de busard. Ou bien qu’on a oublié qu’il était utilisé par des salariés faillibles.
Eliot, c’est le nom du système informatique central du marché dérivé action. Il a apparemment l’air aussi efficace pour éviter les risques de courtage qu’Echelon pour empêcher le 11 septembre. Je vous conseille ce passionnant billet de professionnel de la finance, et surtout les nombreux commentaires de spécialistes, dont celui-ci :
J’ai bossé sur Eliot pendant 3 ans, et c’est très simple de prendre un login dans une macro Excel pour insérer une nouvelle contre-partie. La première faille est là. JK a juste récupéré de cette manière des logins car les traders sont toujours attachés à leurs macros, ils ont des équipes de dev dédiés appelés "Commando" qui leur font des macros sur mesure, et les login/password sont en clair dans le code. Pas besoin d’avoir les droits DBO sur la base de données Eliot pour faire des insertions. Pour l’insertion dans BDR, ca ne doit pas être très difficile non plus.
On a un peu parlé avec des gars de SAS (support Eliot), et ils nous ont confirmé que c’est bien ce qu’il s’est passé. Personne n’avait pensé qu’un opérateur pourrait monter un truc pareil, les controles servent à encadrer les opérations et à remonter les risques, pas à detecter les psychopathes en salle.
Tout est dit. Le système n’a pas été prévu pour détecter qu’un jeune trader n’avait pas pris de vacances depuis 2 ans, ni qu’il venait du back-office et avait conservé relations et savoir-faire, et que les login se baladent sur des feuilles excel à la con. Normalement, ça, c’est le boulot des humains, des chefs. Pour ça, normalement, ils perçoivent jusqu’à 10 millions d’euros par an.
Mais apparemment, ça n’était pas assez pour s’apercevoir qu’un gars avait pris des positions frauduleuses sur un montant similaire au PIB du Maroc.
(sur les blogs d’experts, voir la bonne analyse d’Alain Johannes).
MISE A JOUR : je viens de lire le dernier commentaire du billet en question, rien à dire. Le voici in extenso, j’ai graissé les points d’intérêts :
Comment un système informatique supposé contrôler que les employés ne font pas de bêtises peut-il se satisfaire de ne contrôler que la somme des positions fictives et de ses positions réelles et de vérifier qu’elle est nulle, au lieu de calculer la somme des positions réelles, la somme des positions fictives, et d’envoyer une alarme si l’une ou l’autre de ces sommes dépasse la moyenne des sommes des positions réelles et fictives d’autres opérateurs ayant la même limite de 20 millions je crois?
D’autre part, les comment se fait-il que les comptes utilisateurs de Jerome Kerviel (" logins qu’il aurait gardés" n’aient pas étés révoqués lors de son départ du département back office, ou bien les privilèges associés à ces comptes abaissés ?
Comment, alors que l’inputabilité se doît d’être une caractéristique d’un système d’information sécurisé, est-il possible sinon que des opérations effectuées avec ces anciens comptes n’aient pas déclenché des alarmes ?
Alors que les banques se servent couramment des données collectés sur les opération effectuées par leur clients afin de détecter des anomalies dans l’utilisation de leurs cartes/comptes, comment ce fait-il que des logiciels de gestion de risque ne comportent pas de dispositifs de ce type compte-tenu des sommes en jeu ?
Pour finir, quelle est la société qui a développé ces logiciels ?
9 commentaires »
Flux RSS des commentaires de cet article. TrackBack URI
Merci Joël pour cette info très précise et les liens que tu nous donnes qui sont à la fois éclairants et stupéfiants. Mais visiblement, au niveau médiatique, Jérôme Kerven reste le bouc émissaire idéal. Jusqu’à quand ?
Commentaire par RC38 — 27/1/2008 @ 7:20
Merci Joël pour cette perle qui confirme, s’il en était besoin, qu’il y a beaucoup de bruit dans le monde des blogs, mais aussi de bien beaux signaux.
Si je résumé ce que j’ai lu, il suffisait d’appliquer le niveau d’incurie de la DSI usuelle pour comprendre ! On a donc un petit malin qui s’est amusé avec les codes qu’on a oublié de supprimer et les clés en clair dans des macros excel, sans parler de contrôleurs qui s’en tiennent à quelques indicateurs partiels, enfin que tout le monde trouve très chiantes les règles de sécurité et préfèrent les ignorer ? Il n’y a rien à réinventer, il suffit d’appliquer les procédures.
Je ne sais pas ce qu’il va advenir de J.K., mais il y a certainement quelques responsables du SI de la SG, sans parler du management direct (énorme le coup des 2 années sans vacances !), qui doit avoir du mal à dormir (…)
Commentaire par Alexis MONS — 27/1/2008 @ 10:04
atterante révélation de la Sogé dans sa note explicative
http://www.lesechos.fr/medias/2008/0128//300237175.pdf
Pourquoi les montants engagés par le trader n’ont-il pas alerté les systèmes de contrôle ? Parce que la banque ne procède pas à des contrôles sur le « nominal » de positions, c’est-à-dire sur leur montant facial, mais seulement sur le niveau de risque lié à l’écart des deux positions normalement prises en même temps par un arbitragiste : l’une vendeuse, l’autre acheteuse.
Commentaire par TVnomics — 28/1/2008 @ 11:44
Ça me rappelle une phrase lue il y a quelques années à propos de la fabrication de virus sous windows par des adolescents (à l’aide de simples macros). De mémoire : “lorsqu’un gamin de 13 ans fait s’écrouler une cathédrale d’un coup de pied, faut-il blâmer le gamin ou l’architecte ?”
Commentaire par Charles Nepote — 28/1/2008 @ 2:39
Notre monde est bâtie sur la croyance que tout fonctionne bien, mais plus on regarde, plus on remarque que rien ne fonctionne comme ça devrait. les types qui sont payés pour contrôler le système, ils étaient où? Au golf?
Commentaire par lil — 28/1/2008 @ 11:55
merci pour cet article éclairant!
Commentaire par king selewa — 29/1/2008 @ 12:44
“Pour finir, quelle est la société qui a développé ces logiciels ?”
Vu le nombre d’intervenants une bonne partie des SSII françaises … Plus quelques chefs de projets maison.
Commentaire par Jean-Philippe — 30/1/2008 @ 11:03
l explication donnee est impossible. Meme si le trader enregistre une operation contraire en interne pour avoir une position soldee la dtb bourse allemande fournit a la generale son releve reel d operation du jour faisant apparaitre un achat ou une vente de plus sur des positions aussi pharaonique la dtb toujours procede a des deposits (garantie espece d un pourcentage de la position) ce qui est loin d etre neutre et cela tout les jours et proced aussi aux appels de marges qui est un credit ou un debit en fonction du cours de cloture donc tout ceci n est possible qu avec la complicite de la hierarchie
un ancien trader patrick
Commentaire par boucheron — 31/1/2008 @ 11:10
C’est vrai, on peut certainement insérer des deals sans passer par Eliot. Ceci dit, il y a un système d’audit qui permet d’historiser les modifs sur les tables, à ce que me disent des sources sures
Commentaire par djuke — 10/2/2008 @ 9:05