L'équipe de sécurité de X (anciennement Twitter) a révélé que la Securities and Exchange Commission (SEC) des États-Unis n'avait pas activé l'authentification à deux facteurs (2FA) sur son compte X principal, ce qui a permis à un pirate d'y accéder.
Cette révélation embarrassante pour la SEC fait suite à une faille de sécurité qui a ébranlé les marchés crypto aujourd'hui avec une fausse approbation d'un fonds négocié en bourse (ETF) sur le prix au comptant du bitcoin (BTC) à partir du compte officiel de la SEC sur la plateforme de médias sociaux.
Dans un message publié le 10 janvier, la page de sécurité de X indique que le piratage de la SEC s'est produit parce qu'un acteur non identifié a pris le contrôle du numéro de téléphone associé au compte et l'a utilisé pour accéder à la page officielle X de la SEC. Ce type de piratage est plus connu sous le nom de piratage par échange de cartes SIM.
We can confirm that the account @SECGov was compromised and we have completed a preliminary investigation. Based on our investigation, the compromise was not due to any breach of X’s systems, but rather due to an unidentified individual obtaining control over a phone number…
— Safety (@Safety) January 10, 2024
Nous pouvons confirmer que le compte @SECGov a été compromis et nous avons terminé une enquête préliminaire. D'après notre enquête, la compromission n'est pas due à une violation des systèmes de la SEC, mais plutôt à un individu non identifié qui a pris le contrôle d'un numéro de téléphone...
- Sécurité (@Safety) 10 janvier 2024
« D'après notre enquête, la compromission n'est pas due à une violation des systèmes de X, mais plutôt à un individu non identifié qui a pris le contrôle d'un numéro de téléphone associé au compte @SECGov par l'intermédiaire d'un tiers. Nous pouvons également confirmer que le compte n'a pas été utilisé à des fins commerciales. », a écrit l'équipe de sécurité de X.
« Nous pouvons également confirmer que l'authentification à deux facteurs n'était pas activée sur le compte au moment où il a été compromis. »
Le piratage par échange de cartes SIM est une forme d'usurpation d'identité dans laquelle un pirate s'empare du numéro de téléphone d'une victime, ce qui lui permet d'accéder à ses comptes de médias sociaux, bancaires et crypto.
Dans ce cas, le pirate a probablement convaincu un fournisseur de télécommunications tiers de lui céder le contrôle du numéro de téléphone lié au compte de la SEC. Si le pirate connaissait également l'adresse électronique utilisée pour se connecter au compte, il pourrait utiliser le numéro de téléphone pour réinitialiser le mot de passe du compte officiel de la SEC et y accéder.
ZachXBT, le fin limier de la blockchain, a profité de l'occasion pour reprendre les conseils du président de la SEC, Gary Gensler, sur la sécurité des médias sociaux, dans un commentaire humoristique en réponse à l'article original sur la sécurité des réseaux sociaux.
Hi @GaryGensler this is a reminder to secure your financial accounts as well as protect against identity theft and fraud.
— ZachXBT (@zachxbt) January 10, 2024
Remember to:
Use strong passphrases or passwords
Set up multifactor authentication
Keep account alerts turned on#CybersecurityAwarenessMonth pic.twitter.com/KBNOV3KhAJ
Recourir à des phrases de passe ou des mots de passe forts
Mettre en place une authentification multifactorielle
Garder les alertes de compte activées#CybersecurityAwarenessMonth pic.twitter.com/KBNOV3KhAJ
- ZachXBT (@zachxbt) 10 janvier 2024
Les sénateurs américains J.D. Vance et Thom Tillis ont écrit une lettre à Gensler le 9 janvier, reprochant à l'agence son manque de sécurité opérationnelle et demandant une explication de l'incident dans les quatre jours à venir.
« Ces développements soulèvent de sérieuses inquiétudes concernant les procédures internes de cybersécurité de la Commission et sont contraires à la mission tripartite de la Commission de protéger les investisseurs. », indique la lettre.
BREAKING: Senators @JDVance1 & @SenThomTillis Demand Explanation For The SEC's Errant Announcement Of The Approval Of Spot-Bitcoin ETFs
— Senator Vance Press Office (@SenVancePress) January 10, 2024
"It is unacceptable that the agency entrusted with regulating the epicenter of the world’s capital markets would make such a colossal error." pic.twitter.com/xG77jM9xAM
La lettre de MM. Vance et Thillis s'ajoute à une liste croissante d'appels à la transparence sur cette question, plusieurs membres du Congrès ayant également demandé l'ouverture d'une enquête officielle sur cet incident. Le sénateur américain Bill Hagerty a appelé la SEC sur son propre terrain, affirmant que si cette mésaventure avait été causée par un acteur de l'autre côté de la barrière, l'agence demanderait naturellement une enquête.
« Tout comme la SEC demanderait des comptes à une entreprise publique si elle faisait une erreur aussi colossale pour faire bouger le marché, le Congrès a besoin de réponses sur ce qui vient de se passer. C'est inacceptable. »
À lire également : La décision sur l'ETF Bitcoin ne sera probablement pas retardée en raison du piratage subi par la SEC
La sénatrice américaine Cynthia Lumiss a ajouté sa voix à la mêlée, exigeant la transparence sur les « annonces frauduleuses ».
Elon Musk, propriétaire de X et PDG de Tesla, a également profité de l'occasion pour réfuter une affirmation antérieure faite sur CNBC selon laquelle le piratage du compte de la SEC résultait d'une violation des systèmes internes de X.
That’s how the legacy media runs
— Elon Musk (@elonmusk) January 10, 2024
C'est ainsi que fonctionnent les médias traditionnels
- Elon Musk (@elonmusk) 10 janvier 2024
« C'est ainsi que fonctionnent les médias traditionnels. », a déclaré Elon Musk. Plus tôt, il avait suggéré que le mot de passe de la SEC était LFGDogeToTheMoon.