Des sénateurs inquiets exigent une enquête sur le piratage de Twitter par la SEC
- Deux sénateurs demandent une enquête sur le piratage du compte Twitter de la Securities and Exchange Commission (SEC) et critiquent les pratiques de cybersécurité de l'agence.
- Le compte Twitter de la SEC a été compromis et un message frauduleux concernant les ETF Bitcoin a été publié, entraînant la diffusion de fausses informations.
- Les sénateurs exigent des mesures correctives de l'agence pour renforcer sa sécurité informatique et éviter d'autres incidents graves à l'avenir.
Deux sénateurs, Ron Wyden, D-Ore. et Cynthia Lummis, R-Wyo, ont demandé une enquête sur l'incident de piratage qui a affecté le compte Twitter officiel de la Securities and Exchange Commission (SEC).
Les deux sénateurs ont demandé à l'inspecteur général de la SEC, Deborah J. Jeffrey, d'ouvrir une enquête sur ce qui s'est passé lorsque le compte Twitter de la SEC a été compromis, en plus de « l'échec apparent de la SEC à suivre les meilleures pratiques en matière de cybersécurité ».
Le compte Twitter de la SEC a été compromis mardi la semaine dernière et le pirate informatique a publié un message sur le compte indiquant que la SEC avait approuvé les ETF Bitcoin au comptant. Cela s’est produit au plus fort de l’anticipation de l’approbation de la SEC pour un ETF Bitcoin au comptant.
En conséquence, plusieurs sites Web d’informations cryptographiques ont signalé les fausses nouvelles sur leurs sites Web jusqu’à ce que la SEC, par l’intermédiaire de son président Gary Gensler, annonce que les informations étaient fausses. Twitter avait déclaré à l'époque que le compte avait été compromis car le numéro de téléphone associé au compte n'était pas sécurisé par une authentification à deux facteurs.
Wayden et Lummis ont noté que les comptes de médias sociaux de la SEC auraient dû être protégés en utilisant les meilleures pratiques du secteur.
« Non seulement l'agence aurait dû activer la MFA, mais elle aurait également dû sécuriser ses comptes avec des jetons matériels résistants au phishing, communément appelés clés de sécurité, qui constituent la référence en matière de cybersécurité des comptes », ont déclaré les sénateurs.
La SEC a également annoncé plus tard qu'elle s'associait avec les forces de l'ordre pour enquêter sur l'attaque contre son compte Twitter.
La SEC n'a pas pris de précautions
L'attaque contre le compte Twitter de la SEC a suscité de nombreuses inquiétudes tant parmi le public que parmi les principaux décideurs politiques en raison de l'impact qu'un tel incident pourrait avoir sur les investisseurs et autres en général.
S'adressant à l'inspecteur général, Wyden et Lummis ont déclaré : « La direction de la SEC a été largement avertie des dangers de mauvaises pratiques de cybersécurité de la part de votre bureau », citant quelques rapports antérieurs.
Le bureau de l'inspecteur général avait constaté en décembre que « le programme et les pratiques de sécurité de l'information de la SEC n'étaient pas efficaces », et a déclaré que même si l'agence avait fait des progrès, d'autres correctifs devaient être apportés.
« En outre, un piratage entraînant la publication d'informations importantes pour les investisseurs pourrait avoir des impacts significatifs sur la stabilité du système financier et la confiance dans les marchés publics, y compris une potentielle manipulation du marché », ont déclaré Lummis et Wyden. « Nous vous invitons à enquêter sur les pratiques de l'agence liées à l'utilisation de la MFA, et en particulier de la MFA résistante au phishing, afin d'identifier les failles de sécurité restantes qui doivent être comblées. »
Les deux sénateurs ont exigé une mise à jour sur l'enquête et les mesures correctives de la SEC d'ici le 12 février. Pendant ce temps, deux autres sénateurs JD Vance et Thom Tillis avaient envoyé une lettre au président de la SEC, Gary Gensler, demandant des éclaircissements sur la faille de sécurité sur le compte X officiel de l'agence..
« Ces développements soulèvent de sérieuses inquiétudes concernant les procédures internes de cybersécurité de la Commission et sont contraires à la mission tripartite de la Commission visant à protéger les investisseurs, à maintenir des marchés équitables, ordonnés et efficaces et à faciliter la formation de capital », indique la lettre.
Ça aurait pu être pire
Les sénateurs avaient également déclaré plus tôt qu'une violation du compte de la SEC était une indication de l'attitude de l'agence à l'égard de sa cybersécurité en général.
Pour une agence gouvernementale sensible comme la SEC, cela pourrait signifier un danger potentiel non seulement pour l'agence, mais également pour les entreprises avec lesquelles elle travaille ainsi que pour les investisseurs, d'où la nécessité d'enquêter pour éviter un incident plus grave à l'avenir.
