La Securities and Exchange Commission des États-Unis a déclaré lundi que son compte officiel sur X (anciennement Twitter) avait été compromis au début du mois et qu'une attaque par échange de carte SIM en était la cause, a rapporté CNBC.

Le 9 janvier, une personne non autorisée a accédé au compte @SECGov et a affiché un faux message affirmant que l'agence avait approuvé le tout premier fonds négocié en bourse Bitcoin au comptant. Les marchés des crypto-monnaies ont changé après la publication non autorisée, les prix du Bitcoin ayant initialement grimpé à près de 48 000 $. Par la suite, le prix du Bitcoin est tombé en dessous de 46 000 $ après que la SEC a précisé qu'elle n'avait pas approuvé un ETF Bitcoin.

"Deux jours après l'incident, et en consultation avec les opérateurs de télécommunications de la SEC, la SEC a déterminé que lors d'une apparente attaque de 'SIM swap', une partie non autorisée a pris le contrôle du numéro de téléphone mobile de la SEC associé au compte", a déclaré un porte-parole de la SEC dans un communiqué.

L'échange de carte SIM se produit lorsqu'un numéro de téléphone est transféré vers un autre appareil sans l'autorisation du propriétaire, permettant à des acteurs malveillants de recevoir des messages texte et des appels vocaux destinés à la victime.

Après que l'inconnu ait obtenu le numéro de téléphone, il a réinitialisé le mot de passe du compte. Étant donné que la SEC n'a pas activé l'authentification à deux facteurs, l'échange de la carte SIM et le changement ultérieur du mot de passe sont les deux seules étapes nécessaires pour accéder pleinement au compte de l'agence.

"Alors que l'authentification multifacteur (MFA) était auparavant activée sur le compte @SECGovX, X Support a désactivé la fonctionnalité à la demande du personnel en juillet 2023 en raison de problèmes d'accès au compte", a déclaré la SEC dans un communiqué. "Une fois l'accès rétabli, MFA est resté désactivé jusqu'à ce que le personnel le réactive le 9 janvier après que le compte ait été compromis."

Actuellement, tous les comptes de réseaux sociaux SEC offrant la fonctionnalité MFA l'ont activé. L’institution a la possibilité de réactiver l’authentification à deux facteurs pour son compte X et ne compte pas sur X pour ce faire.

Elon Musk, propriétaire et directeur de la technologie de X, s'est moqué de la Securities and Exchange Commission (SEC) des États-Unis après que son compte sur X ait été compromis. Musk a également retweeté un message du service de sécurité de Twitter après l'incident, affirmant que la fuite "n'était pas due à la compromission du système X".

X n'a ​​pas immédiatement répondu aux questions de CNBC quant à savoir si la plateforme continue de coopérer avec les enquêteurs ou si la société envisage de modifier la conception ou toute fonctionnalité liée aux comptes des agences gouvernementales en réponse à la violation du compte SEC.

La SEC a déclaré qu'il n'y avait aucune preuve qu'une partie non autorisée ait accédé aux systèmes, données, équipements ou autres comptes de médias sociaux de la SEC. Au lieu de cela, a déclaré l'agence, "le numéro de téléphone a été obtenu via un opérateur de télécommunications", et les forces de l'ordre enquêtent toujours sur la manière dont la personne "a amené l'opérateur à changer la carte SIM du compte et comment la personne savait quel numéro de téléphone était associé au compte".

La SEC a déclaré qu'elle continue de coopérer avec plusieurs entités chargées de l'application de la loi et de la surveillance fédérale, notamment le Bureau de l'inspecteur général de la SEC, le FBI, la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security, la Commodity Futures Trading Commission, le ministère de la Justice et la propre division d'application de la SEC.