Alors que les regards étaient tournés vers le gendarme boursier américain dans l'attente de sa validation pour le lancement de fonds ETF s'appuyant sur le Bitcoin, un message diffusé par le compte X de la SEC a annoncé cette approbation avec un jour d'avance, faisant brièvement grimper le cours de la monnaie virtuelle.
Rapidement, l'autorité a indiqué que le message n'était pas de son fait et qu'un accès frauduleux avait permis sa diffusion à partir de l'un des numéros de téléphone associé au compte.
Une investigation a immédiatement été lancée tandis que le réseau X assurait que son infrastructure n'avait pas été mise en défaut et qu'il s'agissait d'un problème d'accès compromis.
Prise de contrôle d'une ligne téléphonique
Depuis, l'enquête a permis d'éclaircir les causes de la fraude. La SEC indique avoir été victime de SIM Swapping. Ce type d'attaque permet à un pirate de prendre le contrôle d'une ligne téléphonique généralement en faisant croire à l'opérateur que la carte SIM a été perdue et en demandant d'en renvoyer une autre ou en récupérant des informations lui permettant de demander un transfert de ligne à l'occasion d'un changement d'opérateur.
Il faut en principe disposer d'un certain nombre d'éléments d'identification pour y parvenir mais c'est une attaque pas forcément très difficile à mettre en oeuvre. Une fois en possession de la ligne, le hacker a pu modifier le mot de passe du compte de la SEC.
La double authentification avait été désactivée
Mais si cela a été si facile, c'est pour une deuxième faiblesse dans le dispositif de sécurité. Le compte du gendarme boursier ne disposait pas de la double authentification qui aurait pu alerter que quelqu'un tentait de manipuler l'accès au compte.
L'investigation a relevé que la double authentification avait été désactivée en juin dernier à la suite de difficultés pour se connecter au compte X et qu'elle n'avait pas été remise en place depuis.
La SEC indique que l'authentification à double facteur est désormais active pour tous ses comptes sur les réseaux sociaux et la mésaventure est une bonne piqûre de rappel concernant l'importance de cette mesure.
L'annonce officielle de la validation des fonds ETF en Bitcoin est intervenue au lendemain de la fausse déclaration sur X et peu d'acteurs se sont finalement laissés prendre au message inhabituel diffusé sur le réseau social.