La Securities and Exchange Commission des États-Unis a accusé une attaque de SIM swap d’avoir provoqué la violation de son compte officiel X, laissant entendre que le pirate avait piraté le téléphone d’un membre du personnel.
Le SIM swap a permis au pirate d’accéder au compte officiel de la SEC sur X et d’afficher un faux message affirmant que l’agence avait approuvé le premier ETF Bitcoin spot.
La SEC blâme l’attaque SIM Swap
Le principal régulateur des États-Unis a été victime d’une attaque de SIM-swapping qui a compromis son compte officiel X. Le 9 janvier, un pirate a eu accès au compte de la SEC et a affiché un faux message affirmant que l’agence avait approuvé le tout premier ETF Bitcoin spot, ayant un impact majeur sur les marchés de la cryptomonnaie. À la suite du message, le prix du Bitcoin a considérablement augmenté, passant de 45 000 $ à 48 000 $. La SEC s’est empressée de publier une clarification, ce qui a fait baisser le prix en dessous de 46 000 $. Un porte-parole de la SEC a déclaré :
« Deux jours après l’incident, en consultation avec le transporteur téléphonique de la SEC, la SEC a déterminé que la partie non autorisée a obtenu le contrôle du numéro de téléphone cellulaire de la SEC associé au compte dans une apparente attaque de ‘SIM swap’ ».
Le porte-parole a ajouté que six mois avant l’attaque, le personnel de la SEC avait supprimé une couche de sécurité supplémentaire appelée authentification multi-facteurs. Cette authentification n’a pas été réactivée avant l’attaque du 9 janvier.
« Alors que l’authentification multi-facteurs (MFA) était auparavant activée sur le compte @SECGov X, elle a été désactivée par X Support, à la demande du personnel, en juillet 2023 en raison de problèmes d’accès au compte. Une fois que l’accès a été rétabli, MFA est restée désactivée jusqu’à ce que le personnel la réactive après que le compte ait été compromis le 9 janvier. MFA est actuellement activée pour tous les comptes de médias sociaux de la SEC qui l’offrent. »
Qu’est-ce que le SIM Swapping?
Un SIM swap se produit lorsqu’un numéro de téléphone est transféré à un autre appareil sans l’autorisation du propriétaire initial. Cela permet au pirate d’intercepter et de recevoir des SMS et des appels destinés au propriétaire d’origine. Une fois le pirate a accédé au numéro de téléphone, il a pu réinitialiser le mot de passe. La SEC n’a pas activé l’authentification à deux facteurs, ce qui signifie qu’un SIM swap et un changement de mot de passe étaient nécessaires pour accéder au compte de la SEC.
Les attaques SIM Swap deviennent une menace majeure
Un expert en cybersécurité, Chris Pierson, a déclaré que les attaques de SIM swap sont devenues une menace majeure pour les agences gouvernementales et les entreprises. Pierson, qui est un ancien membre du sous-comité de cybersécurité et du comité de confidentialité du département de la sécurité intérieure, a ajouté :
« À l’origine, ces attaques ont prospéré comme moyen pour les criminels de s’emparer du portefeuille ou du compte de cryptomonnaie d’un individu, mais elles sont maintenant utilisées comme arme par d’autres acteurs criminels et des États nations pour un éventail beaucoup plus large d’utilisations. »
Dans plusieurs cas, des comptes influents ont été ciblés pour des systèmes de stockage et de déversement, la diffusion de désinformations et pour porter atteinte à la réputation.
« Alors que cela devient un problème plus sérieux, avec des acteurs plus organisés et sophistiqués, nous constatons encore de nombreuses agences et entreprises continuer à commettre des erreurs de base en matière de sécurité de ces comptes. »
La SEC a déclaré qu’il n’y avait aucune preuve montrant que le pirate avait accédé à ses systèmes, données, appareils ou autres comptes de médias sociaux. Les forces de l’ordre enquêtent actuellement sur la façon dont le pirate a convaincu le transporteur de changer le SIM pour le compte et comment il a su quel numéro de téléphone était associé au compte.
Clause de non-responsabilité : Cet article est fourni à des fins d’information uniquement. Il n’est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre conseil. »
