Il hack la SEC et fait dérailler Bitcoin : Le FBI le retrouve grâce à ses recherches Google

Souvenez-vous l’hiver dernier. La SEC (Security and Exchange Commission) s’est retrouvée bien malgré elle au cœur d’un scandale en janvier dernier. Alors que l’institution est censée surveiller et protéger les marchés financiers, elle a vu son compte X piraté. Le responsable ? Un hacker de 25 ans qui, après avoir semé le chaos, a eu la brillante idée de chercher sur Google : « Comment savoir si le FBI enquête sur moi ? ». Retour sur un hack pas comme les autres.

Le hack qui a fait bouger le marché… et le FBI

Tout commence le 9 janvier 2024. Alors que tout le monde attend patiemment l’approbation (ou non) d’un ETF Bitcoin par la SEC, un message explosif apparaît sur son compte X officiel. Le faux post annonce que l’approbation est enfin arrivée ! Immédiatement, les investisseurs se ruent pour acheter du Bitcoin, et le prix grimpe de 1 000 dollars.

Mais comme toujours, les bonnes choses ne durent pas. Le président de la SEC, Gary Gensler, intervient rapidement via son propre compte pour démentir la nouvelle. Le faux message est supprimé au bout de 25 minutes. Mais 25 minutes, c’est amplement suffisant pour secouer le marché surtout dans le calme d’un bear market qui s’allonge. Après la correction, le Bitcoin chute de 2 000 dollars, laissant certains investisseurs avec l’amère sensation de s’être fait balader. Les liquidations sont nombreuses. C’est le grand n’importe quoi.

« Aujourd’hui, la SEC approuve l’inscription des ETF Bitcoin sur toutes les bourses nationales enregistrées de valeurs mobilières (securities).
Les ETF Bitcoin approuvés seront soumis à une surveillance continue et à des mesures de conformité pour assurer une protection continue des investisseurs. »

Fausse approbation des ETF Bitcoin au comptant pas la SEC

Un SIM Swap, ou comment pirater comme un pro (ou presque)

Mais comment un hacker a-t-il pu prendre le contrôle du compte X de la SEC ? La réponse : un SIM Swap. C’est une méthode de piratage. Le principe est simple : convaincre un opérateur téléphonique de transférer un numéro de téléphone vers une nouvelle carte SIM contrôlée par le pirate. Une fois que c’est fait, il peut recevoir toutes les notifications et codes de sécurité associés au numéro volé. Et voilà, la SEC se retrouve sans défense face à Eric Council Jr., alias « Ronin », alias « AGiantSchnauzer ». Oui, il s’est vraiment fait appeler comme ça.

Bien sûr, pour que cela fonctionne, il fallait désactiver l’authentification multifacteur. Ce qui avait justement été fait quelques mois plus tôt sur le compte de la SEC. Pourquoi ? Apparemment à cause d’un problème technique. Et personne n’a pensé à le réactiver après. Une faille de sécurité qui a valu la risée de Gary Gensler, président de la SEC, qui avait posté quelques jours plus tot des conseils de sécurité sur ses réseaux sociaux … qu’il ne suivait en fait pas lui-même.

Piratage, Bitcoin, et… Google ?

Mais là où ça devient vraiment croustillant, c’est après le hack, et donc la nouvelle du jour. Que fait notre jeune génie Eric Council Jr., notre coupable, une fois son coup réalisé ?

Il se tourne vers son meilleur allié : Google. Selon les enquêteurs, après avoir piraté le compte X de la SEC, ce petit prodige de l’informatique a tapé dans la barre de recherche des questions telles que :

• « Piratage SECGOV »
• « Comment savoir si le FBI enquête sur moi ? »
• « Quels sont les signes indiquant que vous faites l’objet d’une enquête de la part du FBI ? »

Oui, vous avez bien lu. Notre hacker, après avoir manipulé les marchés et pris d’assaut le compte de la SEC, s’est demandé tout à coup si le FBI ne serait pas en train de le traquer.

Arrestation, Bitcoin et grosse peine de prison en vue

Hier donc, le 17 octobre 2024, le FBI met enfin la main sur Eric Council Jr., un résident de l’Alabama. L’acte d’accusation révèle que ce cher Eric a non seulement piraté le compte X de la SEC, mais qu’il a aussi reçu un paiement en Bitcoin pour l’opération.

« L’arrestation d’aujourd’hui démontre notre engagement à tenir les mauvais acteurs responsables de saper l’intégrité des marchés financiers ».

Procureur

Manipulation de prix du Bitcoin, paiement en Bitcoin reçu une fois son méfait réalisé, création d’une fausse carte d’identité hack, complot en vue de commettre un vol d’identité aggravé, fraude au dispositif d’accès … les charges sont nombreuses et lourdes. Council, qui aurait des complices non identifiés, risque jusqu’à cinq ans de prison.

Cette histoire est un véritable coup dur pour la SEC, qui prêche constamment la bonne parole en matière de cybersécurité. Mais, admettons-le, elle nous fait tous malheureusement sourire. Le fait qu’ils aient désactivé leur propre authentification multifacteur – une mesure qu’ils recommandent eux-mêmes à tout-va – fait tache. L’apparente jeunesse du hacker aussi bien dans son modus operandi que dans son âge (25 ans ) tourne aussi l’institution en dérision. Rassurons-nous, depuis cette affaire, Gary Gensler a souhaité rassurer : tous les comptes sont désormais protégés au maximum ; la SEC peut continuer sa guerre anti-crypto.