Cette arnaque téléphonique qui a coûté 1,2 million de dollars à un hedge fund

Un vendredi soir comme les autres chez Fortelus Capital Management. Thomas Meston, le directeur financier du prestigieux Hedge Fund londonien, basé à Regent’s Street, est sur le départ pour le week-end, quand il reçoit un coup de fil urgent de dernière minute.

Au bout du fil, un responsable de l’une des banques partenaires du groupe, la banque d’affaires Coutts, filiale de Royal Bank of Scotland. Ce dernier s’alarme d’une quinzaine de transactions financières suspectes dans le bilan du fond d’investissement sur les dernières semaines, transactions qui selon lui seraient le résultat d’un piratage de données.

Erreur fatale

Inquiet, Thomas Meston demande la procédure pour vérifier et faire annuler lesdites transactions. Et pour cela, le responsable de chez Coutts lui propose de prendre le numéro de la carte de sécurité électronique de Fortelus, celle qui permet d’authentifier toutes les transactions financières du groupe en provenance et à destination des comptes de l’entreprise.

Le but étant de générer des codes qui invalideront automatiquement d’éventuels mouvements frauduleux. Le directeur financier de Fortelus s’exécute, et les transactions en question sont annulées. Thomas Meston, soulagé, raccroche et fait un rapport sur l’incident, avant de partir en week-end. Mais voilà…

Mise à la porte et procès

En ouvrant son ordinateur de bureau le lundi matin, stupeur… plus de 740.000 livres sterling (1,2 million de dollars) ont disparu des comptes du fonds Fortelus ! Faisant rapidement le lien avec l’incident du vendredi soir, il décroche son téléphone et appelle en catastrophe la banque Coutts… qui lui répond désolée que jamais personne de ses services n’a cherché à le joindre, encore moins à propos de transactions suspectes.

Mis à la porte du fonds d’investissement, Thomas Meston n’a eu de cesse depuis l’incident de clamer son innocence et de jurer ses grands dieux qu’il n’y avait eu aucune malhonnêteté intentionnelle de sa part. Les faits remontent à la fin de l’année 2013, mais ne sont connus que depuis quelques jours, avec l’ouverture d’un procès que Fortelus a intenté à son ancien directeur financier.

"L’appel du vendredi soir" 

L’arnaque, simple et efficace, mêlant à la fois le "phishing" et "arnaque au faux patron" (cette dernière étant monnaie courante en France), porte le nom d' "appel du vendredi soir" en Grande-Bretagne, une plage horaire très précise qui permet d’avoir affaire à des responsables d’entreprise moins vigilants que d’habitude.

Ce type d’arnaque a causé 5 millions de livres sterling de préjudice aux entreprises britanniques en un seul trimestre cette année, selon les chiffres de Zurich Financial. Mais au-delà de la simple arnaque, le procès permet d’écouter les avis des experts en matière de sécurité financière et de mettre en lumière une problématique générale à l’ensemble du secteur des hautes technologies.

Vers le 100% informatique ?

Dans ces affaires, comme pour les technologies des voitures autonomes par exemple, il apparaît que c’est l’intervention humaine qui est directement source d’erreurs. D’où une réflexion générale du secteur financier de penser désormais à une automatisation totale des procédures de sécurité.

A tel point que les universitaires de Coventry, consultés pour le procès de l’arnaque Fortelus, estiment que l’humain dans cette affaire est le maillon faible, et qu’il faudrait assumer désormais des institutions financières où c’est l’informatique qui gère l’intégralité des procédures de sécurité, sans intervention de l’homme.