« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez ni la technologie ni les problèmes. »— Bruce Schneier. N’est-il pas ironique que ceux censés surveiller la sécurité de nos marchés financiers aient eux-mêmes commis une bourde de « débutant » ? Le gendarme de la Bourse américaine, ou plus familièrement appelé SEC (Securities and Exchange Commission), vient de nous faire un joli tour de passe-passe en oubliant de verrouiller la porte de sa maison numérique, son fameux compte officiel X!
Notre histoire commence avec une astuce de magicien connue sous le doux nom de « SIM swapping ». Vous savez, cette espièglerie numérique où des malandrins persuadent les opérateurs téléphoniques de leur passer la ligne mobile d’autrui. Et bam, le tour est joué : un accès VIP dans les coulisses de votre compte numérique. C’est ainsi que notre SEC nationale s’est vu dépossédée de son précieux numéro de téléphone associé au compte X. Sans parler du changement de mot de passe qui a suivi. Et ce, sans l’usage d’un Multi-Factor Authentication (MFA), ou authentification à multiples facteurs en bon français. Comment, diable, ont-ils pu être aussi désinvoltes?
L’affaire ne s’arrête pas là. Nos petits pirates ont pris un malin plaisir à annoncer l’approbation de fonds indexés sur le bitcoin (bitcoin ETFs) via le compte piraté, ce qui, sans surprise, a soulevé moult questions sur les pratiques sécuritaires de la SEC. On aurait pu croire que les comptes gouvernementaux sur les réseaux sociaux seraient blindés par MFA, notamment un compte aussi influent que celui de la SEC qui peut faire vaciller les marchés avec un simple gazouillis. Les membres du Congrès s’arrachent déjà les cheveux à ce sujet.
La SEC a désactivé le MFA pour « résoudre » un problème d’accès, ou comment mettre son portefeuille en guise de soutien-gorge dans le métro…
Allez savoir pourquoi, mais l’équipe de support de X a jugé sage de désactiver MFA en juillet dernier pour résoudre un « problème » d’accès. Tragique décision que de ne pas remettre en place cette sécurité jusqu’à ce que, surprise, le compte soit compromis le 9 janvier. S’ensuit alors une cascade de questions digne d’un polar cybernétique : qui a commandité le forfait ? Comment la compagnie de télécom a-t-elle pu se laisser duper si facilement ? at last but not least, qui a le numéro de téléphone du compte X ?
Aujourd’hui, la SEC, à la fois gênée et diligente, assure que le MFA a été réactivé pour tous ses comptes sociaux et qu’elle mène l’enquête, d’un pas décidé, aux côtés du Ministère de la Justice, du FBI, de la Sécurité intérieure et de son propre Inspecteur Général. Qu’on se le dise, on n’est jamais trop prudent. Et comme qui dirait, mieux vaut tard que jamais!
En guise de conclusion, chers lecteurs, n’oublions jamais le dicton moderne : dans le monde des comptes sociaux, il vaut mieux activer le MFA avant que le SIM swap ne frappe! Alors SEC ou pas, pour votre sécurité, n’oubliez jamais la seconde couche… de protection, bien sûr!
Source : Engadget
