Close
  • Français
  • English

07/03/2014Les transactions financières à haute fréquence : THF – Problématique et sécurité [Par Daniel Guinier, Expert en cybercriminalité et crimes financiers près la Cour Pénale Internationale de La Haye]

Introduction

Le THF consiste à transmettre à très grande vitesse des ordres sur les marchés financiers, sans intervention humaine au niveau opérationnel. Ce sont des programmes qui scrutent en permanence les carnets d’ordres pour confronter l’offre à la demande, et calculer le cours d’équilibre du titre. Lorsqu’une opportunité est détectée, le THF permet de se positionner dans ce même carnet d’ordres, en s’intercalant parmi ceux des autres intervenants du marché pour bénéficier de la tendance des prix qui se dessine. Le nombre de transactions des places boursières est de fait maximisé pour anticiper les micromouvements de marché. L’objectif visé est d’obtenir des profits substantiels en générant des gains assez faibles à chaque opération mais en multipliant les transactions en très grand nombre[1].

En amont les outils informatiques sont programmés sur la base d’algorithmes mathématiques. En aval, ils agissent comme de véritables “boîtes noires”, conçues pour passer automatiquement des milliers d’ordres par seconde sur les marchés boursiers[] : achat et vente des titres, modification ou annulation des ordres précédents, en fonction des micro-fluctuations, avec la capacité de ne retenir que les ordres intéressants[2]. Les traders sont délaissés au profit de mathématiciens qui réalisent des algorithmes et d’informaticiens qui les traduisent sous forme de programmes soutenus par une informatique en réseaux.

Infrastructure technologique du THF

Informatique et réseaux pour réduire le temps

Le THF requiert une infrastructure technologique sophistiquée à faible latence ou lag, qui joue un rôle clé pour la célérité des passages d’ordres, quasiment en temps réel. Elle est constituée de superordinateurs et de serveurs puissants installés au plus près de ceux des principales places boursières, avec des moyens de liaison par fibre optique, afin d’augmenter la rapidité d’envoi des instructions au marché. Selon des échelles de plus en plus exigeantes, le trading basse fréquence se contentera d’une latence de l’ordre de 100 millisecondes, le courtage, de 10 millisecondes, et l’accès direct au marché (DMA), de la milliseconde, tandis que le THF sera sensible à des fractions de millisecondes, voire à quelques microsecondes pour l’arbitrage.

 Image 1

 Pour améliorer la rapidité de communication entre les places boursières, un projet, d’un coût total estimé à plusieurs milliards de dollars, consiste à relier l’Angleterre au Japon par trois câbles en fibre optique. Le but essentiel de ce projet est de réduire le temps des ordres de Bourse de l’ordre de 25 à 30%, soit un gain de 60 millisecondes sur les 230 millisecondes nécessaires à un paquet de données émis à Tokyo pour atteindre Londres.

Au-delà de la limite infranchissable liée à la vitesse de la lumière, qui exigerait une microseconde pour parcourir 300 mètres, les commutateurs les plus performants permettent l’exécution d’un ordre en dix microsecondes, alors qu’un réseau interne Ethernet nécessiterait cinquante microsecondes[3]. Ce phénomène de latence[4] mérite d’être abordé au vu de l’existence et des effets d’autres facteurs limitatifs significatifs. Dans les réseaux, à la différence de la bande passante, la latence dépend du contexte. L’impact des diverses sources de latence peut alors varier considérablement au travers d’environnements différents. Ainsi, la course pourrait conduire à des coûts inappropriés, du fait d’erreurs de mesures ou de simulations sous-estimées, dès la conception jusqu’à la mise en œuvre.

Image 2

 Il existe encore peu de jonctions directes par fibre optique. Dans les réseaux, les paquets traversent de multiples liens et dispositifs entre les serveurs d’émission et de réception.  Selon le modèle d’interconnexion OSI, les communications passent par un ensemble de couches. Chacune tient un rôle précis : conversion, routage, découpage, vérification, etc., et dialogue avec les couches adjacentes, pour fournir des services à la couche supérieure et utiliser les services de la couche  inférieure. Elles relèvent d’équipements distincts : répéteurs, concentrateurs (hubs), commutateurs (switchs), routeurs, passerelles, etc.

Ces éléments reliés entre eux ont une latence cumulative, à laquelle s’ajoutent des retards d’émission et d’autres liés à des listes d’attente variables. A ce sujet, si la latence d’un commutateur peut varier entre une microseconde à plus de 100 microsecondes, d’autres éléments liés à la sécurité : pare-feux, systèmes de prévention dintrusion, dispositifs de supervision, etc., présentent parfois des latences chacune supérieure à des dizaines de millisecondes. La latence globale résulte de la somme des délais liés à l’interface de l’émetteur et du récepteur, à la propagation[5] au niveau de chaque lien, et à l’ensemble des éléments répartis le long du chemin emprunté.

Au cours de la transmission, lorsque le trafic est important, viennent se surajouter des phénomènes de congestion qui génèrent des files d’attente et des fluctuations de signal (jitters)[6] avec de courtes rafales (microbursts) de moins d’une milliseconde qui saturent le réseau durant cette période. Ceci vient augmenter la latence avec d’autres facteurs indéterminés relevant de modèles stochastiques et de l’implémentation. Aussi, la supervision en temps réel et le suivi en continu de la contribution relative des éléments et segments du réseau à la latence globale sont indispensables pour détecter les aberrations et les dysfonctionnements et d’éventuelles manipulations hostiles au trafic ou attaques malveillantes, pour y remédier rapidement.

Algorithmique pour définir et appliquer les stratégies

Le THF est associé à des algorithmes de trois types. Le premier vise la stratégie et analyse le carnet d’ordres existant pour alimenter en informations les autres modules. Le second traite les ordres de placement d’achat ou de vente en fonction des cours[7]. Il se fonde sur une stratégie de prises de positions de très courte durée, dénommée scalping, en recourant à l’analyse des micro-anomalies de cours pour engranger une petite plus value mais fructueuse, car pratiquée à grande échelle. Le troisième organise le carnet d’ordres dans le bon sens, au vu d’une tendance haussière ou baissière[8] et du meilleur routage. Ainsi, un carnet d’ordres haussier va accentuer le phénomène en achetant avant les opérateurs réels, et en revendant à un prix plus haut que ces derniers, et réciproquement si la tendance est baissière. Il est à noter que si les volumes sont élevés[9], le solde de titres accumulés reste plutôt faible[10].

Le nombre d’ordres passés pourrait dépasser plusieurs dizaines de milliers par seconde, puisqu’il est constaté que le temps minimum entre deux ordres consécutifs d’un même opérateur est de quelques microsecondes, alors que la plus courte durée de vie d’un ordre, annulé avant exécution, est de quelques dizaines de microsecondes. En fait, pour éviter de signaler leurs intentions et dans le but de découvrir à quel prix les autres investisseurs sont disposés à acheter ou vendre un titre, les opérateurs divisent leurs ordres en lots de plusieurs centaines à des prix définis et différents. Après l’obtention de la réponse, les ordres de ces séries sont annulés, pour l’achat ou la vente des titres peu avant les autres investisseurs, pour les revendre ou les acheter en nombre, selon le cas, quelques millisecondes plus tard, avec un léger profit pour chacun.

Risques intrinsèques au THF

Problématique liée aux pratiques et à la concurrence

Le THF est l’un des symboles des excès des marchés financiers. Il touche à l’éthique et suscite la controverse jusque dans les milieux financiers. Il inquiète l’ensemble des autorités des marchés qui s’interrogent en particulier sur l’existence d’un marché à deux vitesses et sur la difficulté de surveillance des manipulations de cours. Il faut noter que l’extrême rapidité d’exécution d’ordres et en très grand nombre facilite le masquage de pratiques douteuses voire interdites : ordres flash[11], smoking[12], layering, spoofing[13], stuffing[14], etc. et rend le contrôle difficile à exercer par le régulateur comme par les professionnels du secteur. L’AMF a déjà dénoncé les menaces “d’intégrité du marché dès lors que les stratégies de trading sont détournées de leur objectif initial pour être utilisées à des fins de manipulation de marché”. Concernant les pathologies du THF, l’AMF indique notamment le risque systémique.

Risques engendrés par le THF

Les risques engendrés par le THF sont multiples. Il s’agit d’abord de la distorsion de concurrence, du fait de l’inégalité d’accès aux infrastructures informatique et réseaux et algorithmiques, ce qui aboutit à l’exclusion des autres intervenants du marché face à des opportunités qui leur échappent. Il s’agit ensuite de la fraude, du fait de difficultés de surveillance par le régulateur au vu de la vitesse et de la complexité du THF[15].  Il a été vu que le THF est sensible à une panne causée par un afflux de transactions ou de requêtes de cotations, –et au-delà, au déni de service (DoS)-, et aux erreurs de conception, de spécification ou de codage d’un algorithme, provoquant un mouvement boursier aberrant, comme cela s’est passé lors le 6 mai 2010, ou de la quasi-faillite du Knight Capital Group, le 1er août 2012.

Réactions suscitées par le THF

En plus des zones moins régulées comme la Russie, l’Inde et la Chine, des craintes sont émises par divers États, suscitant la volonté d’introduire de nouvelles règles, notamment aux États-Unis, avec la commission SEC (Securities and Exchange Commission) et la règle Volcker, en Europe, avec la directive MiFID (Market in Financial Instruments Directive). Au niveau européen, il s’agit d’imposer un seuil de latence minimum pour les ordres boursiers, fixé à une demi-seconde dans les carnets d’ordres. En France, le décret 2012-957 du 6 août 2012 va dans ce sens. Néanmoins, les places financières européennes ne sont pas promptes à réguler le fonctionnement du THF, craignant de perdre leur attractivité auprès de ceux qui disposent déjà des moyens pour développer le THF, alors que les Bourses de Wall Street à Londres sont dominantes.

Malgré tout, de nouvelles règles applicables au THF ne résoudront qu’une partie du problème, tant qu’elles n’obligeront pas à présenter une assurance de sécurité évaluée comme suffisante.

Risques et mesures inhérents a la sécurité

Typologie des risques

Il s’agit de l’ensemble des risques cybernétiques : erreur due à un comportement imprévu d’un algorithme, erreur ou malveillance lorsque l’accès des clients aux opérations se fait via les machines sans être filtré, -conduisant selon le cas, à un cours aberrant ou à un détournement, sans pouvoir réagir très rapidement, incident ou malveillance entraînant la saturation de tout ou partie d’une infrastructure, conduisant à une panne généralisée, ou encore à une propagation systémique, induite par l’automatisation et la vitesse et les cascades déclenchées par des interactions par un tel système singulièrement critique.

En rapport à leur origine, il s’agit des risques internes, liés à l’organisation, au management, aux processus, et à l’infrastructure du THF, des risques externes, liés à l’environnement, à la concurrence, à l’activisme et aux réglementations, et des risques de pilotage, liés aux dispositifs et informations pour les décisions, la supervision et le contrôle, associés aux menaces correspondantes à l’encontre d’actifs entrant dans les processus du THF[16].

Vulnérabilités relevant du THF

Les vulnérabilités structurelles sont liées à la vitesse recherchée : erreurs provoquées par des fluctuations de signal (jitters), pertes de paquets, insuffisance des protocoles (ex. TCP/IP), etc., et en particulier à l’absence de pare-feux et à l’insuffisance des dispositifs d’authentification et de contrôle d’accès, pour ne pas augmenter la latence, et pour plus de profits…mais à quel prix ? A ceci vient s’ajouter l’absence de durcissement significatif au niveau des interfaces et du système d’exploitation, au prétexte de difficultés opérationnelles et d’entretien. Elles sont également liées au secret des algorithmes et à leur implantation sous forme de programmes informatiques, sans garantie par une certification au niveau de confiance requis.

Par ailleurs, les algorithmes comme les programmes sont parfois modifiés pendant une séance boursière pour répondre aux conditions de marché, avant de les remettre en production juste après un essai sur des données apparentées. De plus, les microordinateurs connectés pourraient servir de relais d’accès dans le cadre d’un “botnet”, contrôlé par un groupe ou un État désirant se livrer à une opération de désorganisation d’un marché.

La contradiction dans la prise en compte de la sécurité découle du fait que le problème de latence est capital pour le THF avec des exigences qui se mesurent en microsecondes, et celles de la sécurité en millisecondes, bien trop lentes pour agir en temps réel.

Menaces à l’encontre du THF

Les principales menaces, y compris malveillantes, proviennent à la fois des développeurs, des agents internes : traders et administrateurs, et des agents externes, au travers du marché, et d’autres liés à la cybercriminalité, au terrorisme financier ou à la guerre économique.

Les développeurs ne sont pas soumis aux contrôles habituels, du fait du secret, de faiblesses dans le mode de management et de subordination, et des accès privilégiés au THT pour apporter des modifications au cours des opérations. Les traders et les administrateurs ont la capacité d’initier des tâches ou des échanges, pour les uns, ou d’installer et de paramétrer des programmes, y compris malveillants, pour les autres. Le marché peut introduire des risques de transactions, avec des erreurs dans les messages, et en cas de systèmes compromis par des codes malveillants, ou suite à une cyberattaque relevant en particulier de menaces avancées persistantes.. De plus, des incidents récents suggèrent que des cybercriminels, y compris des crackers commandités, s’intéressent aux systèmes et aux algorithmes du THF des marchés occidentaux.

Des cyberattaques visant le THF apparaissent inévitables, tout comme l’étaient celles visant les infrastructures critiques et les systèmes SCADA, avec le ver Stuxnet. En fait le THF pourrait être vu comme un dispositif de traitement et de supervision en temps réel apparenté à un SCADA dans un contexte financier. Si de telles attaques ciblant le THF sont possibles, il suffit alors de songer aux conséquences pour mieux apprécier la nécessité de mettre la sécurité au cœur de ces systèmes, tant l’absence de la sécurité et de sa supervision pourrait poser un risque systémique aux États-Unis, mais aussi au système financier global.

Mesures de sécurité attendues pour le THF

Des mesures sont attendues pour permettre la confiance malgré les menaces et en tout cas pour s’assurer de la surveillance du THF et des menaces, alors que les dispositifs de sécurité sont considérés comme trop lents, et surtout que le monde de la finance est peu disposé à apprendre des incidents répétés en ignorant de ces signaux faibles, mais seulement centré sur la conformité. Les efforts devront malgré tout être suffisants pour réduire le risque et éviter un désastre. Ceci passe déjà par des revues de code, des tests suffisants, selon des normes strictes, concernant les systèmes et les applications du THF, et notamment les implémentations des algorithmes et les interfaces, dans les environnements de développement, de test et d’exploitation.

Pour bénéficier d’une capacité de défense en profondeur efficace, le THF devra s’appuyer sur un ensemble cohérent de procédures et de techniques de sécurité, et en particulier sur des éléments de nouvelle génération de faible latence : routeurs, pare-feux, etc. Ceci devrait permettre de fixer un seuil de latence minimum pour les opérations concernées en rapport avec la latence globale incluant les dispositifs de sécurité, dans le cadre d’une réglementation internationale appropriée.

Conclusion

Le Trading Haute Fréquence (THF) se développe fortement avec des outils peu contrôlés et de plus en plus sophistiqués. Il repose sur des technologies complexes interconnectées et des algorithmes propriétaires insuffisamment éprouvés en mesure de réagir de façon imprévue. L’ensemble visant un même but et bâti sur des schémas voisins serait susceptible de provoquer des cascades systémiques.

La problématique relève de la distorsion de concurrence et de la fraude, de la vitesse des échanges, de la criticité, et de la sécurité face à des menaces d’envergure et de cyberattaques possibles. Une difficulté réside dans le compromis à trouver entre les exigences du THF mesurées en microsecondes, et celles de la sécurité trop latente pour agir en temps réel. Cet engrenage reste en attente d’une meilleure régulation au plan mondial, en imposant des limites et un niveau de confiance suffisant concernant la sécurité, par le recours à la certification au vu de normes et d’une réglementation à la hauteur des enjeux.

Enfin, le THF est aussi mis en œuvre au travers de plates-formes boursières “shadows” permettant d’effectuer des transactions dans l’anonymat et de surcroît dans des zones moins régulées comme le Brésil, la Russie, la Chine et l’Inde. Les gouvernements et institutions financières seraient donc bien avisés de prendre toute la mesure et la portée de ces phénomènes.

Image 3Par Daniel Guinier,

Docteur ès Sciences
Certifications CISSP, ISSMP, ISSAP et MBCI
Expert en cybercriminalité et crimes financiers près la Cour Pénale Internationale de La Haye
L’auteur se propose de présenter le “trading haute fréquence” (THF), dans son contexte global et sa problématique, pour en montrer la portée et la sécurité dans un espace d’échanges financiers colossaux ouverts à la cybercriminalité.

[1] Le THF joue sur la quantité et les volumes, et l’arbitrage se fait sur les anomalies de quelques micro-écarts (ex. gains de 0,01% mais sur des millions d’ordres).

[2] Au niveau mondial, dans certaines stratégies, 1% seulement des ordres seront exécutés, contre 1 à 5% en France, les autres étant annulés, certains après 25 microsecondes. En moyenne 60 % d’entre eux sont annulés dans la seconde qui suit. De plus, pour un même membre, le délai minimum entre deux messages consécutifs est de 7 microsecondes.

[3] Exemple : Commutateur InfiniBand et réseau local (LAN) mis en place par Juniper.

[4] La latence représente ici le temps écoulé depuis l’émission d’un ordre au travers d’un réseau de commutation de paquets, jusqu’à son traitement. Ceci comporte les délais imposés tout au long du parcours dans les réseaux, auxquels se rajoutent ceux requis pour la conversion et le traitement au niveau des postes et serveurs émetteurs et récepteurs.

[5] Délais de conversion en fonction de la performance de l’interface (ex. Ethernet, T1), de traitement au niveau des équipements du réseau (ex. commutateurs, routeurs), de propagation du signal jusqu’à destination (ex. câble, fibre optique), de transformation et de transport des paquets (ex. couches OSI 2 et 3), et de files d’attente.

[6] Ce type de fluctuation dénommée jitter peut être due à un glissement de phase ou à une dispersion temporelle. Elle est en mesure de conduire à des erreurs en sortie lors de la récupération des données

[7] L’exécution d’un ordre implique souvent la division en 500 à 1 000 ordres, avec pour objectif d’obtenir le meilleur prix pour chacun d’eux, multipliant ainsi artificiellement leur nombre.

[8] Par une stratégie dénommée “swing trading”,[] le THF peut ponctuellement inverser la tendance, ce qui permet en particulier d’agir sur les positions des autres opérateurs et d’en provoquer le retrait.

[9] Ce qui fait augmenter artificiellement la volatilité d’une action  et la valeur des options détenues par les opérateurs.

[10] Par ce moyen il est créé un grand volume de marché, tandis qu’en fait les opérateurs réels ont échangé peu de titres.

[11] L’ordre flash permet de révéler des informations confidentielles sur l’ordre au moment de son passage, avant d’être transmis au marché. Un opérateur, ou tout autre, ayant accès à ces données, peut réagir avant que le reste du marché en ait connaissance. Cette pratique apparentée à un délit d’initié est maintenant  interdite par plusieurs marchés.

[12] Le smoking  consiste à envoyer des ordres passifs attractifs, espérant déclencher une réaction des ordres au marché, pour un repositionnement à un niveau plus élevé avant d’être envoyé.

[13] Le layering consiste à placer massivement des ordres d’achat pour attirer les investisseurs qui transmettent de vrais ordres d’achats. Après annulation, le THF déclenche des ordres de ventes, absorbant l’afflux des investisseurs, après que ces derniers aient annulé leurs ordres d’achat à un cours supérieur à la valeur réelle de marché. Le spoofing relève du même principe, mais sans exécution d’ordres de vente, son but est uniquement d’augmenter l’attrait pour le titre.

[14] Le stuffing consiste à compliquer le travail des autres THF en multipliant les ordres transmis sur le marché et en les annulant avant qu’ils ne soient exécutés. Une saturation peut alors conduire à un flash crash comme celui du 6 mai 2010.

[15] Impossibilité de détecter efficacement des pratiques dommageables : manipulation de cours, abus de marché, etc. Il faut également prendre en compte les plates-formes boursières “shadows”, où des investisseurs peuvent effectuer des transactions optimales dans l’anonymat, comme Sigma X, exploitée par Goldman Sachs. Au-delà, le Conseil de stabilité financière (FSB) s’inquiète du “shadow banking”, très développé en Europe et peu contrôlé, qui représentait déjà 67 000 milliards de dollars en 2011, soit 33,5 fois le PIB de la France, avec une croissance de plus de 5 000 milliards sur un an.

[16] Sous forme d’accident : technologique, naturel, panne, dysfonctionnement, etc., d’erreur : de conception, de réalisation, d’exploitation : saisie, utilisation, transmission, documentation, de malveillance : fraude, détournement d’information ou de fonds, sabotage, déni de service, intrusion, en impliquant des facteurs humains : manipulation et “ingénierie sociale“, indisponibilité, départ de personnel stratégique (ex. algorithmicien, administrateur système).