Une quinzaine de jours après le piratage de son compte X, la SEC est revenue sur le vecteur d'attaque utilisé d'une attaque qui n'a pas manqué de semer la zizanie sur le cours du bitcoin. Cette compromission a été prise très au sérieux par l'organisme qui a mobilisé pour son enquête les services de police et les entités de contrôle fédérales appropriées, y compris le bureau de l'inspecteur général de la SEC, le FBI et le CISA.
« Deux jours après l'incident, en consultation avec l'opérateur de télécommunications de la SEC, la commission a déterminé que la partie non autorisée avait obtenu le contrôle du numéro de téléphone portable de la SEC associé au compte dans une attaque apparente de SIM swap », a expliqué le régulateur. Le SIM swapping - à savoir le transfert de carte SIM - consiste pour des pirates à contacter l’opérateur télécom de leur victime en parvenant à se faire passer pour eux afin de transférer son service sur leur propre carte SIM. Une opération qui se base davantage sur du social engineering qu'une attaque informatique en tant que telle. « Le personnel de la SEC n'a identifié aucune preuve que la partie non autorisée a accédé aux systèmes, données, terminaux ou autres comptes de médias sociaux de la SEC », a précisé l'organisme. En récupérant la ligne, l'acteur malveillant a donc aussi pu accéder aux liens de réinitialisation de mots de passe ainsi qu'aux codes à usage unique pour le MFA.
Le MFA désactivé en juillet 2023
Une fois en possession du numéro de ligne téléphonique de la SEC, il a donc été simple pour le ou les pirate(s) à l'origine de cette opération d'accéder au compte de réseau social de la commission ce qui s'est avéré encore plus simple que prévu. « Alors que l'authentification multifacteurs avait été précédemment activée sur le compte X @SECGov, elle a été désactivée par l'assistance X, à la demande du personnel, en juillet 2023, en raison de problèmes d'accès au compte », explique la SEC. « Une fois l'accès rétabli, le MFA est resté désactivé jusqu'à ce que le personnel la réactive après que le compte a été compromis le 9 janvier. Le MFA est actuellement activé pour tous les comptes de médias sociaux de la SEC qui la proposent ». Ce n'est pas demain la veille que la SEC désactivera le MFA sur ses comptes mais reste à savoir si cela sera suffisant pour refroidir l'ardeur des pirates...