Débloquez gratuitement Editor’s Digest
Roula Khalaf, rédactrice en chef du FT, sélectionne ses histoires préférées dans cette newsletter hebdomadaire.
Le message X sur le compte officiel de la Securities and Exchange Commission affirmant, à tort, qu’elle avait approuvé mardi les fonds négociés en bourse au comptant américains en bitcoins semble avoir été le résultat exactement du type de piratage que le régulateur a passé des années à avertir les entreprises d’éviter.
La publication a été largement partagée sur les réseaux sociaux ainsi que sur Bloomberg TV et sur les sites d’informations économiques, jusqu’à ce que le président de la SEC, Gary Gensler, publie sur son propre compte X 10 minutes plus tard, affirmant que le compte du régulateur avait été « compromis » et qu’aucune approbation n’avait été accordée.
Cet incident est un oeil au beurre noir très médiatisé pour Gensler, qui a fait de la cybersécurité un pilier de son programme, en adoptant des règles plus strictes pour élargir la divulgation des cyberincidents des entreprises et en punissant les entreprises qui ont induit les investisseurs en erreur sur leurs pratiques en matière de cybersécurité.
La SEC a déclaré que l’accès non autorisé à son compte avait pris fin. Il travaille avec des agences, dont le FBI, pour examiner l’incident.
Dans un message publié mardi soir, X, anciennement connu sous le nom de Twitter, a déclaré que le « compromis » avait été causé par « un individu non identifié ayant pris le contrôle d’un numéro de téléphone associé à l’entreprise ». @SECGov compte par l’intermédiaire d’un tiers ». X est allé plus loin et a révélé que le compte de la SEC manquait d’authentification à deux facteurs. « Nous encourageons tous les utilisateurs à activer cette couche de sécurité supplémentaire », ajoute-t-il.
Selon les normes de cybersécurité, un compte X compromis est bien moins grave qu’une violation ciblant le régulateur lui-même, comme le piratage du système de classement des entreprises de la SEC en 2016 qui aurait permis aux traders d’empocher au moins 4,1 millions de dollars de bénéfices illégaux.
« En fin de compte, c’est juste un embarras », a déclaré Bruce Schneier, professeur à Harvard et technologue en sécurité. « Dans l’ensemble, aucun mal n’est fait. »
Néanmoins, « ce sont des trucs de maternelle », a-t-il ajouté. « Ce n’est pas une décision subtile en matière de sécurité, nous devons créer un comité, acheter un produit et décider de le déployer. Il s’agit de définir une authentification à deux facteurs sur votre compte Twitter.
Chris Pierson, directeur général du groupe de cybersécurité BlackCloak, a déclaré qu’il n’était pas rare que des comptes organisationnels fonctionnent sans identification à deux facteurs, car la mise en place d’un système d’authentification pour un compte utilisé par plusieurs personnes était plus compliquée.
La révélation par X de l’échec de la SEC à mettre en œuvre l’authentification à deux facteurs a surpris certains analystes. Mais Pierson a déclaré que cela était logique à la lumière des nouvelles règles strictes de la commission en matière de cybersécurité qui exigent la divulgation de tout événement important de cybersécurité dans un délai de quatre jours.
« X n’était pas obligé de le faire, mais ils ont probablement pris une mesure supplémentaire en raison de l’accent mis par la SEC sur les règles de cybersécurité », a-t-il déclaré. « La SEC a passé toute l’année 2023 à faire valoir la cybersécurité. »
X est contrôlé par Elon Musk, qui est un critique virulent et de longue date de la SEC. En 2018, il a conclu un règlement avec l’agence après avoir été accusé de fraude en valeurs mobilières liée à une publication sur Twitter disant qu’il « envisageait de privatiser Tesla à 420 $ ». Financement assuré. Musk a ensuite racheté Twitter, l’a privatisé et l’a renommé X.
La SEC a poursuivi séparément Musk en octobre pour le contraindre à témoigner dans le cadre d’une enquête menée par l’agence sur son achat de Twitter en 2022, une assignation à comparaître qu’il combat devant le tribunal.
Pour la SEC, le piratage est survenu juste au moment où le monde financier se tournait vers le régulateur quelques heures seulement avant une date limite très attendue pour l’approbation ou non de certaines des au moins 11 demandes soumises par des gestionnaires d’actifs cherchant à lancer des ETF bitcoin au comptant.
Dans les minutes qui ont suivi la fausse publication, le bitcoin a augmenté de 1,5% ce jour-là, mais s’est rapidement inversé une fois la publication démystifiée. Le prix a ensuite chuté jusqu’à 3,4 pour cent avant de rebondir un peu.
Les législateurs de Washington ont demandé une enquête sur ce qui s’est passé. Bill Hagerty, le sénateur républicain du Tennessee qui a critiqué la position plus stricte de la SEC en matière de cryptographie, a qualifié l’incident d’« inacceptable » dans un message X.
« Tout comme la SEC exigerait des comptes d’une entreprise publique si elle commettait une erreur aussi colossale en matière de mouvement du marché, le Congrès a besoin de réponses sur ce qui vient de se passer », a-t-il ajouté.
Sherrod Brown, président démocrate de la commission bancaire du Sénat américain, qui supervise la SEC, a déclaré au Financial Times dans un communiqué qu’il était « préoccupé » par le fait que l’incident « pourrait porter atteinte à nos marchés et à la mission de l’agence ». Cynthia Lummis, sénatrice républicaine du Wyoming et partisane de la cryptographie, a déclaré mardi dans un article X que « nous avons besoin de transparence sur ce qui s’est passé ».
Le motif et la nature du piratage restent flous. Cela « pourrait être ‘ha ha, ce n’était pas si drôle’ ou ‘J’ai fait beaucoup d’investissements et maintenant je vais en tirer profit’ », a déclaré Schneier, professeur à Harvard et technologue en sécurité.
James Elbaor, directeur de Marlton, un fonds spéculatif basé à Chicago et actif sur le marché du Bitcoin et sur d’autres marchés, a déclaré qu’il n’avait vu aucun « mouvement de marché étrange qui aurait bénéficié du piratage ».
« Je pense simplement que c’était quelqu’un qui aurait dû être plus avisé, mais pas quelqu’un qui essayait de gagner de l’argent », a-t-il déclaré. « Pas si néfaste. »
Reportages supplémentaires de Stephen Gandel et Hannah Murphy