Annonce de PAX Technology et reprise de la cotation du titre
PAX Global Technology Limited (la « Société », ainsi que ses filiales, le « Groupe ») fait référence à une baisse significative du cours de l’action (l’ « Action » depuis l'ouverture de la séance du matin à la Bourse de Hong Kong (la « Bourse ») le 27 octobre 2021. La Société a demandé la suspension de la cotation qui a pris effet à 10h56 le 27 octobre 2021 jusqu’à la publication de cette annonce.
Après avoir fait les recherches nécessaires sur les causes possibles de la baisse de l’action la Société confirme qu'elle n'a connaissance d'aucune raison (à l'exception des éléments divulgués ci-dessous) expliquant cette baisse ni d’information devant être annoncée ou toute information confidentielle devant être divulguée en vertu de l'ordonnance sur les valeurs mobilières et les contrats à terme partie XIVA de la bourse de Hong Kong.
MANDAT DE PERQUISITION CHEZ PAX US
Le 26 octobre 2021 heure de New-York (les « États-Unis »), des agents du « Federal Bureau of Investigation » (FBI) et du « Customs and Border Protection » des États-Unis ont effectué une perquisition autorisée par le tribunal dans les bureaux et entrepôts de Floride de Pax Technology, Inc. (« Pax US »), une filiale en propriété exclusive de la Société, et ont conduit des entretiens avec certains employés de Pax US. Les autorités susmentionnées n’ont donné aucune information au Groupe quant à l’objet, ou le but des recherches ainsi que des entretiens. Par ailleurs le Conseil d'administration de la Société (le « Conseil ») n'a connaissance d'aucune accusation portée contre le Groupe en relation avec une telle procédure.
Pax US a repris ses activités normales. Bien que le retentissement médiatique autour de cet évènement et les articles de presse mentionnés ci-dessous aient suscité l'intérêt et des demandes de renseignements des partenaires commerciaux du Groupe, entre autres, le Groupe n'a observé aucun changement défavorable important dans ses opérations et/ou ses activités. Sur la base des faits et circonstances actuellement connus, la Société n'envisage pas d'impact financier significatif sur le Groupe. Le Groupe continuera à se concentrer sur la fourniture de produits et services à ses clients et à respecter les normes de produits les plus élevées dans ses activités commerciales.
ARTICLES DE PRESSE
Deux articles ont été portés à l'attention du Conseil, avant la publication de cette annonce, l'un daté du 26 octobre 2021 intitulé « FBI Raids Chinese Point-of-Sale Giant Pax Technology » publié sur le blog « KrebsOnSecurity.com » (qui semble être basé aux États-Unis) (l'« Article KrebsOnSecurity »), et l'autre en date du 28 octobre 2021 intitulé « FIS's Worldpay Replaces PAX Terminals Over Security Concerns » publié sur Bloomberg (l'« Article Bloomberg »), ainsi que certaines autres publications des médias en rapport avec ces articles.
Pour les investisseurs et actionnaires potentiels de la Société (les « Actionnaires »), la Société souhaite fournir les éclaircissements ci-dessous concernant certaines déclarations incluses dans l'article KrebsOnSecurity et l'article Bloomberg.
1. L'article de KrebsOnSecurity stipulait que:
«KrebsOnSecurity a appris que le raid est lié à des informations selon lesquelles les systèmes de PAX pourraient avoir été impliqués dans des cyberattaques contre des organisations américaines et européennes.»
"Selon cette source, le processeur de paiement a découvert que les terminaux PAX étaient utilisés à la fois comme un "dropper" de malware - un référentiel de fichiers malveillants - et comme des emplacements "de commande et de contrôle" pour organiser des attaques et collecter des informations."
"Mes sources disent qu'il existe une preuve technique de la façon dont les terminaux ont été utilisés dans les opérations d'attaque." a déclaré la source.
La Société note que l'article de KrebsOnSecurity n'a fourni aucun détail sur ces déclarations. Il n’est fait référence qu'à un unique ouï-dire, lui-même repris par la "source" de l'auteur, ouï-dire qui se réfère à d'autres sources anonymes selon lesquelles " il existerait une preuve technique de la manière dont les terminaux ont été utilisés dans les opérations d'attaque ". L'article de KrebsOnSecurity a également mentionné que des éléments tangibles ne sont pas disponibles.
Les produits et services du Groupe sont soumis et certifiés conformément aux normes de l'industrie des cartes de paiement (PCI) et à toutes les lois et réglementations applicables des pays du monde entier. Ils sont donc conçus selon les normes industrielles requises pour certaines cybersécurité (y compris la sécurité en ligne en lien avec les logiciels malveillants). À l'instar d'autres sociétés réputées de l'industrie, le Groupe a toujours pris, et continue de prendre de manière proactive, l'initiative d'améliorer les normes de sécurité de ses produits à la fois de manière générale et en collaboration avec ses clients et les laboratoires de test tiers pour effectuer des certifications de produits, des tests de pénétration et d'autres contrôles stricts liés à la sécurité, le cas échéant, mettant en œuvre des mesures de réparation et d'atténuation nécessaires.
À la connaissance du Conseil d'administration, après avoir effectué toutes les vérifications nécessaires, à la date de cette annonce, il n'y a eu dans le monde aucun incident de cyberattaque signalé ni plainte de cyberattaque, y compris une violation des protocoles de sécurité, contre les produits et services PAX.
2. L'article de KrebsOnSecurity et l'article de Bloomberg indiquaient respectivement que :
« .... KrebsOnSecurity a appris d'une source fiable que le FBI a commencé à enquêter sur PAX après qu'un important processeur de paiement américain a commencé à poser des questions sur les paquets réseau inhabituels provenant des terminaux de paiement de l’entreprise.»
«Un important processeur de paiement américain a commencé à poser des questions sur les paquets réseau provenant des terminaux PAX et n'a reçu aucune réponse satisfaisante."
"La source a déclaré que deux principaux fournisseurs financiers - un aux États-Unis et un au Royaume-Uni - avaient déjà commencé à retirer les terminaux PAX de leur infrastructure de paiement. . "
« .... a déclaré la source. « La taille des paquets ne correspond pas aux données de paiement qu'ils devraient envoyer, ni à la télémétrie que ces appareils pourraient afficher s'ils mettaient à jour leur logiciel. »
« .... a déclaré à Bloomberg la société a confirmé qu'elle ne déploie plus de terminaux de point de vente PAX « parce qu'elle n'a pas reçu de réponses satisfaisantes de la part PAX concernant des connexions à des sites qui ne figurent pas dans la documentation fournie . "
La Société note que l'article de KrebsOnSecurity n'a pas identifié le « principal processeur de paiement américain » ou les « deux principaux fournisseurs financiers » mais a mentionné « FIS Worldpay » dans une mise à jour publiée le 27 octobre 2021 en référence à l'article de Bloomberg.
Fidelity National Information Service, Inc. (« FIS »), un fournisseur de produits et services financiers basé aux États-Unis, et sa filiale basée au Royaume-Uni (le « Royaume-Uni »), à savoir Worldpay, Inc. (« Worldpay ») ont interrompu leur déploiement de terminaux PAX aux États-Unis et au Royaume-Uni début octobre 2021. La Société estime que le chiffre d'affaires attribuable à FIS et Worldpay et aux distributeurs qui vendent les produits du Groupe à FIS et Worldpay pour l'exercice clos le 31 décembre 2020 s'élève à environ 14 millions de dollars HK$ (environ 1,8 million d'USD), soit environ 0,25% du chiffre d'affaires total du Groupe pour cette année-là. Sur cette base, l'arrêt des achats de terminaux PAX par FIS et Worldpay ne devrait pas avoir d'impact défavorable significatif sur le Groupe.
Le Groupe a traité et répondu avec diligence aux questionnaires de routine liés à la cybersécurité de FIS et Worldpay. Le Groupe estime avoir correctement répondu aux demandes de FIS et de Worldpay concernant les terminaux de paiement PAX, y compris aux questions relatives aux fonctions pouvant affecter le volume de transmission de données et de fait être considérées comme des « paquets réseau inhabituels ». FIS et Worldpay ont également reçu des informations sur l'emplacement des serveurs de toutes les applications fournies par PAX sur ses terminaux de paiement qui fonctionnent sur un système d'exploitation basé sur Android. Les terminaux de paiement du Groupe qui exécutent des systèmes d'exploitation basés sur Android, se connectent uniquement aux serveurs (par opposition aux sites Web) des fournisseurs d'applications répertoriés dans la documentation fournie.
Pour offrir une meilleure expérience utilisateur, et dans la mesure où un serveur utilise des « adresses IP dynamiques », comme le font d’ailleurs d’autres grands acteurs technologiques, il est presque impossible pour le Groupe de produire toutes les adresses IP adoptées par ce serveur.
Les données transmises par les terminaux PAX (telles que formatées sous la forme de « paquets de données » ou de « paquets réseau ») peuvent comprendre généralement des données de paiement, mais également d'autres données en rapport avec les applications installées sur les terminaux de paiement (par exemple, géolocalisation, fidélisation programmes et/ou applications de commande en ligne) et « données de télémétrie » qui concernent l'utilisation des données et de la mémoire par l'unité centrale (CPU) du terminal de paiement et comprennent les « paquets de données » ou les « paquets réseau » contenant des mises à jour logicielles pour ces fonctions. Ainsi, en fonction du mode d'exploitation chez les commerçants (où sont généralement déployés les terminaux de paiement du Groupe) et de la configuration de la communication des applications, les tailles des « paquets de données » ou des « paquets réseau » peuvent varier et être supérieures à la taille des paquets de données pour la seule fonction de paiement.
REPRISE DE LA COTATION DU TITRE
À la demande de la Société, la cotation de l’Action de la Société a été interrompue à compter de 10h56 le 27 octobre 2021. Une demande a été déposée par la Société auprès de la Bourse pour la reprise de la cotation de l’Action de la Société à compter de 9h00 le 1er novembre 2021.
Les actionnaires et les investisseurs potentiels de la Société doivent faire preuve de prudence lorsqu'ils négocient les titres de la Société. La Société fera d'autres annonces concernant les questions divulguées dans cette annonce, le cas échéant.
Par ordre du conseil d'administration
PAX Global Technology Limited
Cheung Shi Yeung - Secrétaire de l'entreprise
Hong Kong, le 29 octobre 2021
A la date de cette annonce, le Conseil est composé de trois administrateurs exécutifs, à savoir M. Nie Guoming, M. Lu Jie et M. Li Wenjin ; et trois administrateurs non exécutifs indépendants, à savoir M. Yip Wai Ming, Dr Wu Min et M. Man Kwok Kuen, Charles.