Cette semaine, la Securities and Exchange Commission (SEC) des États-Unis a subi une violation embarrassante et influençant le marché. Un pirate informatique a réussi à accéder à son compte de médias sociaux X et a publié de fausses informations sur une annonce très attendue de la SEC concernant le bitcoin. L’agence a repris le contrôle de son compte et a supprimé le message en moins d’une heure, mais la situation est préoccupante, d’autant plus que la société de sécurité bien connue et respectée, Mandiant, qui appartient à Google, a eu son compte X compromis lors d’un incident similaire la semaine dernière. Les détails émergent encore sur ce qui s’est exactement passé dans chaque cas, mais il y a des points communs qui ont rendu possibles les prises de contrôle des comptes, et il existe des moyens de vous protéger. Crucialement, les deux comptes avaient la protection numérique connue sous le nom d' »authentification à deux facteurs » désactivée lors des prises de contrôle. Également appelée 2FA, cette défense nécessite un code numérique rotatif ou un dongle physique en plus des identifiants de connexion d’une personne, de sorte que tout ne repose pas uniquement sur un nom d’utilisateur et un mot de passe. La SEC n’a pas encore précisé si elle avait accidentellement désactivé l’authentification à deux facteurs suite à un changement de politique de X en février 2023, qui faisait en sorte que seuls les comptes payant un abonnement Blue auraient accès aux codes à deux facteurs envoyés par message texte. Mandiant a sous-entendu mercredi que ce changement était la raison pour laquelle la protection n’était pas activée pour son compte X, en déclarant : « Normalement, la 2FA aurait atténué cela, mais en raison de certaines transitions d’équipe et d’un changement de politique de X en matière de 2FA, nous n’étions pas suffisamment protégés. » Mandiant a déclaré que les pirates avaient réussi à deviner le mot de passe protégeant son compte X lors d’une attaque « brute force ». X lui-même a déclaré mardi que le piratage du compte de la SEC était le résultat d’une « personne non identifiée ayant pris le contrôle d’un numéro de téléphone associé au compte @SECGov via un tiers ». Les deux incidents dressent une liste des étapes les plus importantes que vous pouvez suivre pour sécuriser votre compte X. Tout d’abord, assurez-vous que votre compte est protégé par un mot de passe fort et unique. Ensuite, activez l’authentification à deux facteurs pour votre compte ou, si vous pensez déjà l’avoir activée, vérifiez pour être sûr. Le choix de X de faire payer les utilisateurs pour une forme basique d’authentification à deux facteurs pose problème. Cela a également créé de la confusion car l’entreprise a incité les utilisateurs gratuits à abandonner l’authentification à deux facteurs par SMS, mais a apparemment simplement désactivé la protection pour ceux qui ne l’ont pas fait. Cela a probablement laissé un groupe d’utilisateurs dans une situation où ils pensent avoir l’authentification à deux facteurs activée, mais ce n’est pas le cas.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du
