Une fausse publication sur les réseaux sociaux de la SEC met en lumière les pratiques de sécurité du chien de garde de Wall Street

Le piratage cette semaine du compte de réseau social de la Securities and Exchange Commission a mis les pratiques de sécurité de l'organisme de surveillance de la protection des investisseurs du gouvernement américain – et la fiabilité des informations diffusées par des sources fiables sur les plateformes de médias sociaux – sous un projecteur inconfortable.

Le fiasco a commencé mardi après-midi lorsque le compte officiel de la Security and Exchange Commission (SEC) sur X (la plateforme de médias sociaux anciennement connue sous le nom de Twitter) a publié que le régulateur avait approuvé les fonds négociés en bourse détenant des Bitcoins. La nouvelle tant attendue a fait grimper le prix de la crypto-monnaie de 46 735 $ à 47 863 $.

Environ 15 minutes plus tard, le président de la SEC, Gary Gensler, a déclaré depuis son propre compte X que le compte de la SEC avait été « compromis » et que le régulateur n'avait pas approuvé les ETF spot bitcoin. Environ 15 minutes plus tard, la SEC a supprimé le message original, qui, selon elle, était « non autorisé ». Une fois qu’il est devenu clair que la nouvelle de l’approbation était fausse, les prix du Bitcoin sont tombés à un peu plus de 45 000 dollars, selon les données de Coindesk.

Bien que la SEC ait approuvé les ETF spot Bitcoin le lendemain, le piratage a soulevé des inquiétudes quant à la sécurité des informations de l'agence chargée de protéger les investisseurs contre la fraude sur les marchés financiers et de garantir que les sociétés qui négocient des titres se protègent contre de telles incursions. Cela a également souligné la nécessité pour les investisseurs de redoubler de prudence lorsqu’ils prennent des décisions fondées sur des informations divulguées sur les réseaux sociaux, même à partir de sources généralement fiables.

Les pirates ciblent de plus en plus les comptes « vérifiés » sur X gérés par des entreprises et des agences gouvernementales. De tels comptes, marqués respectivement par des coches dorées ou grises sur la plateforme de médias sociaux, sont particulièrement utiles pour diffuser des informations erronées et des liens malveillants en raison de l'air de crédibilité qui accompagne la vérification.

Un rapport publié la semaine dernière par des chercheurs de la société de cybersécurité CloudSEK a révélé une recrudescence des publicités pour des comptes « chèques en or » compromis sur le dark web et sur les canaux Telegram où les pirates achètent et vendent des informations.

Le type de violation sur laquelle la SEC enquêterait

Le piratage de mardi est exactement le genre d'incident sur lequel la SEC enquêterait et punirait s'il se produisait dans l'une des entreprises qu'elle réglemente, a déclaré John Reed Stark, un consultant en cybersécurité qui a auparavant fondé et dirigé l'Office of Internet Enforcement de la SEC.

« C'est embarrassant pour la SEC, et particulièrement hypocrite parce qu'ils disent à toutes ces entités réglementées de mettre en place tous ces incroyables mécanismes de sécurité et exigences de cybersécurité, et qu'elles les factureront pour la moindre infraction », a déclaré Stark dans un communiqué. entretien. « Et là, ils commettent l'une des infractions les plus flagrantes et les plus évidentes qu'ils accuseraient certainement s'ils étaient découverts dans une entité réglementée. »

Pas plus tard qu'en octobre, la SEC a poursuivi la société de logiciels SolarWinds (SWI), basée au Texas, alléguant que ses dirigeants avaient minimisé les risques de cybersécurité de l'entreprise pour les investisseurs, alors même que des pirates informatiques russes infiltraient les systèmes de l'entreprise et volaient les données des utilisateurs lors d'une violation de données catastrophique.

Les sénateurs républicains JD Vance de l'Ohio et Thom Tillis de Caroline du Nord ont envoyé mardi une lettre à la SEC exigeant une explication sur la manière dont le piratage avait été autorisé.

« Les États-Unis abritent les marchés de capitaux les plus profonds et les plus liquides au monde et la stabilité et la solidité sont impératives si les investisseurs veulent maintenir leur confiance dans nos marchés », indique la lettre. « Il est inacceptable que l'agence chargée de réguler l'épicentre des marchés de capitaux mondiaux commette une erreur aussi colossale. »

Apparemment, les mesures de protection de routine n'étaient pas en place

Ironiquement, la SEC elle-même a publié sur Twitter en octobre : « Faites attention à ce que vous lisez sur Internet. La meilleure source d’informations sur la SEC est la SEC.

Bien que tous les détails du piratage de cette semaine n'aient pas encore été révélés, il semble que certaines précautions de sécurité de base n'étaient pas en place pour protéger le compte SEC.

Dans un message publié mardi soir, l'équipe de sécurité de X a déclaré dans un message que le piratage s'était produit non pas à cause d'une violation des propres systèmes de X, mais à cause d'un « individu non identifié ayant obtenu le contrôle d'un numéro de téléphone associé au compte @SECGov via un compte @SECGov. tierce personne. » Il a également indiqué que l'agence n'avait pas activé l'authentification à deux facteurs, une procédure de sécurité couramment utilisée qui ajoute une couche supplémentaire de défense contre les piratages.

La SEC n'a pas immédiatement répondu à une demande de commentaires. Dans une déclaration envoyée à plusieurs médias, la SEC a déclaré que l'agence « travaillera avec les forces de l'ordre et nos partenaires du gouvernement pour enquêter sur l'affaire et déterminer les prochaines étapes appropriées concernant à la fois l'accès non autorisé et toute mauvaise conduite connexe ».

Ce n’est pas la première fois dans l’histoire récente que des compromissions en matière de sécurité à la SEC nuisent aux investisseurs. En 2016, un pirate informatique a piraté le système EDGAR de l'agence, où elle publie les documents financiers des entreprises publiques, et a accédé aux résultats qui n'avaient pas encore été rendus publics. La SEC a poursuivi le pirate informatique présumé en 2019, ainsi que six traders qu'elle accusait d'avoir utilisé les informations pour effectuer des transactions d'initiés.

Juste le dernier piratage de grande envergure impliquant la cryptographie

Bien que les motivations du pirate informatique de la SEC restent inconnues, il a quelque chose en commun avec de nombreux hacks de grande envergure dans la mesure où il tourne autour de la cryptomonnaie.

Dans le passé, les pirates ont utilisé des comptes officiels volés pour publier des informations erronées et des liens nuisibles, souvent liés au Bitcoin. En 2020, un pirate informatique s'est introduit dans les propres systèmes de Twitter et a pris le contrôle de 130 comptes Twitter très médiatisés, dont celui d'Elon Musk, et a publié des liens vers une arnaque au Bitcoin.

Les investisseurs sur le marché toujours volatil de la cryptographie peuvent être particulièrement vulnérables aux rumeurs et à la désinformation se propageant sur les réseaux sociaux, a déclaré Stark.

« C'est un groupe impulsif qui n'a rien d'autre sur quoi fonder ses décisions financières que le battage médiatique, la spéculation et la théorie du plus grand imbécile », a déclaré Stark. « Il n'y a pas de comptes de résultats, pas de flux de trésorerie, il n'y a pas d'autres informations, pas de bilans, pas de gestion, pas de 10ks, pas de 10qs. Il n’y a aucune autre information à analyser lorsque vous achetez de la crypto.

Ce qu'il faut retenir pour les investisseurs : ne croyez pas tout ce que vous lisez, surtout s'il ne provient pas d'une seule source, même si cette source semble digne de confiance, a déclaré Stark.

« Prenez vos décisions d'investissement sur la base d'une analyse réfléchie et minutieuse, basée sur une diligence raisonnable réelle et sérieuse, et sur les conseils de personnes que vous connaissez et en qui vous avez confiance, et non sur une publication aléatoire, peu importe d'où elle vient. »