Les pirates ont publié de fausses informations sur une annonce très attendue de la SEC concernant le bitcoin, ce qui a fait grimper le cours de la crypto-monnaie et alarmé les observateurs. Le faux message sur @SECGov indiquait que l'autorité de régulation des marchés financiers avait approuvé les fonds négociés en bourse pour détenir des bitcoins. La SEC a supprimé le message environ 30 minutes après sa publication.
Il n'a pas été possible de déterminer immédiatement comment un pirate avait pu accéder au compte officiel de la SEC, mais les analystes en sécurité ont qualifié l'incident d'inquiétant.
"Quelque chose comme ça, où vous pouvez prendre le contrôle du compte de la SEC et potentiellement affecter la valeur du bitcoin sur le marché - il y a une énorme opportunité de désinformation", a déclaré Austin Berglas, un ancien responsable de la cybersécurité au bureau du FBI à New York et un cadre supérieur de l'entreprise de sécurité BlueVoyant.
Les comptes sur X, anciennement connu sous le nom de Twitter, peuvent être détournés en volant les mots de passe ou en trompant les cibles pour qu'elles donnent leurs identifiants de connexion, comme sur toute autre plateforme de médias sociaux. Il est également possible de s'emparer de comptes en violant la sécurité de X, comme cela s'est produit en 2020, lorsqu'un adolescent a réussi à s'introduire dans le réseau informatique interne de Twitter et à prendre le contrôle de dizaines de comptes de premier plan, dont ceux de l'ancien président Barack Obama et de M. Musk, bien avant qu'il n'achète Twitter.
Un porte-parole de la SEC a déclaré mardi que "l'accès non autorisé" à son compte par une "partie inconnue" avait été révoqué et que l'agence travaillait avec les forces de l'ordre et d'autres membres du gouvernement pour enquêter sur cette affaire.
X n'a pas répondu à une série de questions pour cette histoire, mais dans une déclaration publiée plus tôt mardi, la société a déclaré que le compte de la SEC était sécurisé et qu'elle enquêtait sur la "cause première" de la compromission du compte.
Avant même d'être racheté par Musk et de prendre le nom de X, Twitter a connu des problèmes de sécurité persistants.
L'arrestation en 2019 d'un agent saoudien qui avait secrètement passé au peigne fin le backend du site
à la recherche d'informations personnelles sur les dissidents du royaume
a suscité des inquiétudes quant aux mesures de protection internes de Twitter. L'année suivante, le détournement massif de comptes de premier plan par l'adolescent de Floride a renforcé les inquiétudes, le Département des services financiers de l'État de New York (Department of Financial Services) ayant décidé de ne pas se laisser faire.
de l'État de New York a réprimandé l'entreprise pour s'être laissée piéger
d'un "simple" piratage. En 2022, l'ancien responsable de la sécurité de Twitter, Peiter Zatko, a publiquement dénoncé l'entreprise, avant qu'elle ne soit rachetée par Musk, en l'accusant de
d'une litanie de failles de sécurité
qui, selon lui, mettaient en péril la sécurité nationale.
Musk a vanté les mérites de la sécurité de l'entreprise depuis l'achat de Twitter en octobre 2022, mais d'anciens employés affirment qu'elle s'est détériorée depuis lors. M. Musk a ordonné une réduction de 50 % du budget de sécurité physique de X après l'achat de la plateforme de médias sociaux et voulait supprimer les programmes destinés à l'aider à trouver et à corriger les vulnérabilités numériques, selon une plainte déposée le mois dernier par Alan Rosa, ancien responsable de la sécurité informatique chez X. M. Rosa affirme qu'il a été licencié lorsqu'il s'est opposé à ces mesures.
Un ancien cadre de Twitter, qui a refusé d'être nommé, a déclaré que la protection des comptes importants, tels que ceux des représentants du gouvernement, était un objectif majeur avant l'acquisition par Musk, et comprenait des alertes en cas de suspicion de piratage avec des mesures de réponse rapide, mais les employés qui travaillaient sur cet effort faisaient partie d'une équipe "d'intégrité des élections" qui a été licenciée l'année dernière.
Au début de l'année dernière, X a limité la capacité des utilisateurs non payants à mettre en œuvre l'authentification à deux facteurs, une mesure de sécurité clé. Le site Internet de X indique que la société protège et sécurise de manière proactive les comptes des fonctionnaires et des candidats politiques qui "peuvent être particulièrement vulnérables au cours de certains processus civiques".
On ne sait pas si le site de la SEC disposait d'une telle sécurité. Si ce n'est pas le cas, les pirates auraient pu s'emparer du compte en utilisant une ancienne fuite de mot de passe, a déclaré M. Berglas.
"Chaque fois que vous réduisez une fonction de sécurité dans une plateforme qui fait ce que X fait, c'est incroyablement inquiétant", a-t-il ajouté. (Rapport complémentaire de Sheila Dang ; rédaction de Leslie Adler)
