Si vous ne souhaitez pas perdre vos comptes, les informations qui y sont associées et d’autres données privées et importantes, il est nécessaire de ne laisser aucune faille de sécurité dans votre vie numérique. La perte d’un simple mot de passe peut être un gros revers s’il tombe entre de mauvaises mains.
Même si vous essayez de trouver un bon mot de passe, vous devez toujours aller plus loin pour essayer de protéger les comptes autant que possible. Personne n’est à l’abri du danger, pas même les agences gouvernementales, et en fait, la Securities and Exchange Commission (SEC) des États-Unis s’est fait voler son compte X – anciennement connu sous le nom de Twitter – même si cela n’a pas duré longtemps.
Il est intéressant de noter qu’ils ont commis une erreur assez fondamentale, mais qui pourrait arriver à toute personne possédant un compte sur les réseaux sociaux, et on peut en tirer beaucoup d’enseignements. L’objectif des personnes qui ont repris le compte, semble-t-il, était de faire en sorte que un article lié au Bitcoin pour augmenter sa valeur, ce qu’ils ont réalisé momentanément.
La vérification est la clé
C’est la Commission elle-même, SEC, pour son acronyme en anglais, qui a révélé cet acte malveillant de cybercriminels, qui ils ont pris le contrôle de leur compte X officiel Cela est dû, en partie, au fait qu’ils n’ont pas activé la vérification en deux étapes, ce que tous les experts en cybersécurité recommandent vivement.
Et il semble que l’incident se soit produit lorsque quelqu’un de la Securities and Exchange Commission a désactivé la vérification en deux étapes du compte, ce qui a été utilisé pour tenter de mener une attaque par échange de carte SIM. Cela s’est finalement avéré payant pour eux puisqu’ils ont réussi à prendre le contrôle du compte pendant quelques minutes. Comme le confirme l’agence, à aucun moment ils n’ont eu accès à leurs systèmes internes ou à leurs bases de données, uniquement à leur compte sur le réseau social, cela restera donc une simple anecdote.
Cette méthode est réalisée à l’aide d’ingénierie sociale, puisque le criminel a pris le contrôle d’un numéro de téléphone en trompant la compagnie de téléphone, se faisant probablement passer pour son propriétaire, afin qu’elle lui donne le contrôle et l’accès aux messages texte et aux appels entrants dudit numéro. Ainsi, tout type de message de vérification avec un code de connexion ne parviendra pas à la personne propriétaire du numéro.
Les cybercriminels n’avaient qu’à suivre le processus de réinitialisation du mot de passe, à leur envoyer un SMS de confirmation et à saisir leur propre code d’accès. Et c’est quelque chose qui peut arriver à n’importe qui. La publication qu’ils ont faite sur le profil de l’agence a fait grimper le Bitcoin à 48 000 $, mais peu de temps après, il a chuté de 6 %. S’ils avaient volé un autre type de compte, ils auraient peut-être réussi à voler des données ou même de l’argent au propriétaire ; dans ce cas, le but était clair.
Comment éviter que cela se produise
La première erreur commise par l’agence américaine a été désactiver la vérification en deux étapes. Cette décision a été prise parce qu’elle posait des problèmes de connexion, et ils ont contacté les bureaux X pour désactiver ce mécanisme de sécurité, qu’ils auraient dû réactiver dès qu’ils avaient réussi à se reconnecter.
La vérification en deux étapes est un mécanisme très avantageux en termes de sécurité, puisqu’elle signifie qu’en plus de saisir correctement le mot de passe, une deuxième mesure de sécurité est nécessaire. Dans ce cas, l’opération a été effectuée par SMS, mais les experts recommandent de ne pas utiliser cette méthode, car quelqu’un – comme cela s’est produit dans ce cas – peut accéder frauduleusement à la carte SIM, mais il est plus compliqué de le faire si un autre support est utilisé.
Il est préférable d’utiliser des applications de vérification telles que Microsoft Authenticator ou Google Authenticator. Dans ces, un code s’affiche et change toutes les quelques secondes, et pour y accéder, le cybercriminel devrait d’abord pouvoir accéder à notre compte Google, ce qui, s’il est bien protégé, peut aussi être compliqué. En fait, X lui-même recommandait de procéder à une authentification en deux étapes via ce type d’applications, et non par SMS.
Si vous continuez à utiliser les SMS comme méthode de vérification, il est préférable de remplacer cela par une autre alternative compatible, comme les précédentes, même s’il est vrai qu’ils ne peuvent pas être utilisés sur toutes les plateformes, car ils doivent être compatibles avec lesdites applications.