L’infrastructure des Bourses du carbone doit être renforcée

le 25/03/2010 L'AGEFI Hebdo

Après les attaques de « phishing » et la fraude à la TVA, les modes d’accès aux registres de quotas et aux marchés sont revus.

Le 28 janvier dernier, les détenteurs de quotas de carbone de plusieurs pays européens recevaient un courriel d’un certain Hans Frederick. Sous prétexte d’améliorer la sécurité des registres, ils étaient invités à cliquer sur un lien pour y saisir leur identifiant et leur mot de passe. Butin : 250.000 tonnes de CO2 volées en Allemagne, pour une valeur de 3 millions d’euros au cours actuel. C’est peu au regard des volumes échangés sur ces marchés : « Les transactions commerciales s’élèvent à plus de 5 milliards de tonnes par an », note Emmanuel Fages, analyste chez Orbeo. Si peu de victimes se sont laissé piéger, cette attaque de phishing (hameçonnage) a provoqué la fermeture de treize registres européens, notamment en Allemagne, aux Pays-Bas et en Espagne. En France, la fermeture des registres pendant une demi-journée a permis de juguler les problèmes. « Des accréditations ont été modifiées, et lors de la réouverture, nous avons observé avec vigilance le déroulement des opérations », indique-t-on à la Caisse des dépôts (CDC).

Dans les pays ayant ratifié le protocole de Kyoto, les quotas de CO2 sont alloués chaque année aux industriels suivant des Plans nationaux d’allocation des quotas. Chaque pays tient un registre national permettant le suivi des échanges de quotas ; ces registres nationaux sont connectés au registre central européen, le CITL (Community Independant Transaction Log), tenu par la Commission européenne. De plus, ces registres sont interconnectés via le journal international des transactions (ITL, International Transaction Log), établi par le secrétariat de la CCNUCC (Convention cadre des Nations unies sur les changements climatiques). A tout moment, ces systèmes informatiques vérifient que les transactions forment un jeu à somme nulle, afin de s’assurer que seuls des quotas « estampillés » circulent sur le marché. « A l’instar d’un billet de banque, chaque quota comporte un numéro de série, précise Sylvain Goupille, directeur adjoint de la finance CO2 chez BNP Paribas. Tout transfert est enregistré dans les registres et totalement traçable. » En France, c’est la Caisse des dépôts qui administre le registre national, au moyen d’un logiciel appelé Seringas. Développé par la CDC, ce logiciel est également mis à la disposition d’autres pays.

Double autorisation

Les registres nationaux fonctionnent comme des comptes bancaires : leurs titulaires ont les moyens techniques de réaliser des mouvements sur leurs comptes, soit par fax, soit en ligne. L’accès aux registres a donc permis à des « phishers » de détourner à leur profit les quotas enregistrés sur ces comptes. Ce qu’ils ont fait, en dirigeant leurs victimes sur un faux site web ayant toute l’apparence d’un site officiel. « Il existe des ‘aspirateurs’ de sites, qui recopient la structure des pages à imiter, mais il n’est pas indispensable pour les criminels de les copier toutes. Des liens disséminés dans la page dupliquée et pointant vers le véritable site suffisent pour faire vrai », explique François Paget, secrétaire général du Clusif (Club de la sécurité de l’information français), qui rappelle une règle de sécurité élémentaire : « Il ne faut jamais suivre un lien contenu dans un e-mail, surtout pour accéder à des applications sensibles. » Une autre mesure aurait permis de limiter les dégâts : « Sur tous les registres européens, il est possible de demander une double autorisation pour les transferts de quotas », remarque Stéphane Colin, directeur général de Sagacarbon. La probabilité que les deux personnes habilitées révèlent leurs identifiants serait assez faible, sur un marché déjà secoué par plusieurs affaires de fraude à la TVA et par conséquent vigilant sur des contreparties douteuses.

Règles d’identification

En décembre dernier, l’organisation de coopération policière européenne Europol a en effet confirmé que des traders frauduleux sont intervenus massivement sur le marché des EUTS (European Union Emission Trading System) entre 2008 et 2009. Pas moins de 5 milliards d’euros de TVA auraient ainsi été détournés en 18 mois, via un mécanisme dit de « missing trader » ou fraude au carrousel. Dans certains pays, ces manœuvres frauduleuses auraient représenté jusqu’à 90 % des volumes traités. Là encore, ce ne sont pas directement les systèmes informatiques des registres nationaux ou des Bourses d’échanges qui étaient visés. Mais dans un tel contexte, certains intervenants ont déploré que les coordonnées - identité, téléphone, adresse e-mail, fax… - des détenteurs de comptes dans les registres nationaux soient disponibles publiquement sur le site de la Commission européenne. Ce qui a forcément facilité le travail des « phishers ». « Par défaut, l’identité des titulaires des comptes et leurs coordonnées faisaient partie des éléments publics ; le titulaire pouvait toutefois demander la confidentialité de ces informations, indique la Caisse des dépôts. A la suite de ces attaques, la Commission européenne a décidé d’inverser la règle. »

De fait, « si la gouvernance des systèmes d’échanges et leur sécurité n’ont pas été au centre des préoccupations au départ, cette situation est en train d’évoluer », estime Sylvain Goupille. Les Etats membres ont ainsi approuvé lors d’un vote au Comité changement climatique du 17 février une série de mesures visant notamment à renforcer les règles d’identification des représentants des teneurs de comptes et à pourvoir les teneurs de registres de moyens de contrôle additionnels relatifs à l’ouverture de comptes. « Une solution très simple, qui consisterait à équiper les détenteurs de comptes de clés RSID, réduirait fortement les risques de ‘phishing’ », recommande pour sa part Stéphane Colin. Cette mesure est précisément envisagée par la Commission européenne, qui prévoit d’adopter des solutions d’authentification forte au plus tard à partir de 2012. De plus, « la Commission, la CCNUCC et l’ensemble des teneurs de registres collaborent étroitement à l’élaboration d’une procédure commune de gestion des incidents et de sécurité », indique un porte-parole de la Commission européenne. Il n’en reste pas moins que les motivations des hackers restent obscures. « Sur des places de marché averties et vigilantes, on voit mal comment des fraudeurs pourraient monétiser des quotas dérobés », se demande Sylvain Goupille. Ce qui pousse certains observateurs à penser qu’une tentative de déstabilisation des marchés européens des quotas n’est pas à exclure. « L’‘hacktivisme’ est une pratique apparue il y a plus de dix ans, utilisant les modes opératoires des ‘hackers’ (pirates informatiques, NDLR) dans un but de revendication d’ordre politique, culturel ou religieux… », observe Pascal Lointier, président du Clusif (Club de la sécurité de l’information français).

A lire aussi