Délit d'initié

On pourrait dire, à lire cette étude, que le délit d'initié est de moins en moins réservé aux initiés : lors d'un fusion-acquisition, explique par exemple l'AMF, toute une chaîne d'acteurs se met en place pour la réaliser. Chaque acteur, banque-conseil, cabinet d'avocats ou cabinet comptable, consultants, le régulateur, les diffuseurs d'informations financières, les agences de relations publiques et même des bureaux de traductions sont autant de portes d'entrée supplémentaire, pendant l'opération, pour un hacker qui peut se procurer des informations privilégiées sur la fusion/acquisition. Plusieurs cas concrets sont cités par l'étude où chaque fois un acteur différent a pu être pénétré avec succès. Le phishing reste la manière la plus simple et la plus efficace de pénétrer le maillon faible car il y en a souvent un dans cette longue chaîne. Les diffuseurs d'informations sont par exemple vulnérables puisque on peut y placer des annonces à l'avance avec une date d'embargo. L'AMF mentionne que des fuites de données antérieures, même des années avant, peuvent être exploitées plus tard pour du spearphising (phishing personnalisé) particulièrement efficace : le mail mentionne des informations si « historiques » qu'on a de la peine à croire qu'elles ne sont pas légitimes. Ce phishing peut aussi prendre la forme d'un mail venant d'un des acteurs impliqués dans l'opération de fusion-acquisition à un autre acteur dont on a toutes les raisons de croire qu'ils sont légitim