Piratage et délits d'initié se marient bien. La preuve avec cette affaire impliquant trois ressortissants chinois - Iat Hong, Bo Zheng et Chin Hung - résidents en Chine ou à Hong-Kong qui seraient parvenus à hacker plusieurs grands cabinets d'avocats américains entre 2014 et 2015 pour obtenir des informations confidentielles afin d'exécuter des ordres boursiers et empocher le gros lot. Une procédure judiciaire a ainsi été lancée, la SEC se portant partie civile, à l'encontre de ces trois individus, emmenée par le procureur général du district sud de New-York, Preet Bharara. Ils sont suspectés d'avoir pénétré à distance dans les systèmes informatiques de grands cabinets d'avocats américains dont pourraient faire partie Cravath Swaine & Moore ainsi que Weil Gotshal & Manges qui avaient déjà été hackés en début d'année. En tout, 7 cabinets auraient été visés par des tentatives de hack, dont deux auraient réussi.
« Aux alentours du 13 janvier 2015, Hong, Zheng et Hung sont parvenus à exfiltrer des données depuis des boites email sur des serveurs de messagerie du cabinet d'avocats 1 », peut-on lire dans un compte-rendu de justice. « Entre le 3 et le 6 avril 2015, Hong, Zheng et Hung ont tenté plus de 5 000 fois de s'infiltrer dans le cabinet d'avocats 7 [...] Aux environs du 24 mars 2015, Hong, Zheng et Hung ont exfiltré approximativement 26 gigaoctets de données confidentielles de Robotics Company Victim-1 transférées sur un serveur externe. »
Le département des services financiers de New-York en alerte
En parvenant à accéder à la messagerie de plusieurs partners, les pirates ont pu avoir accès à des informations confidentielles relatives à des opérations de fusions-acquisitions, impliquant notamment Intel-Altera et Pitney Bowes-Borderfree, mais également un grand groupe pharmaceutique ayant eu des vues sur InterMune. Grâce à ces informations, du délit d'initié en somme, ils ont exécuté des opérations boursières leur ayant permis d'empocher environ 3,8 millions d'euros. Des achats d'actions concernant 5 entreprises différentes ont été effectués. Pour l'heure, seul Iat Hong a été arrêté (le jour de Noël), ces deux acolytes courant toujours. Accusé de conspiration et de fraude aux valeurs mobilières, il encourt jusqu'à 110 ans de prison.
Suite à cette affaire, le département des services financiers de New-York a proposé en urgence une mise à niveau de sa proposition de régulation sur la cybersécurité, contraignant les banques et les assureurs à rendre leurs systèmes et ceux de leurs fournisseurs à niveau contre les risques associés aux cybermenaces.