Alors que la fraude par usurpation de SIM prend des proportions industrielles, attirant désormais les gangs organisés, les entreprises de télécommunication tentent de proposer des parades aux institutions financières, dont les clients figurent au premier rang des victimes. À défaut de résoudre le problème à la source, mieux vaut s'abstenir.
Bien que considérées aujourd'hui comme insuffisamment robustes pour les transactions sensibles, notamment bancaires, et prohibées par de plus en plus de régulateurs, les méthodes de double authentification reposant sur l'envoi d'un code à usage unique par SMS restent largement présentes dans notre vie quotidienne (par exemple dans nombre de services de signature électronique). De fortes pressions s'exercent donc encore sur les opérateurs de téléphonie mobile afin qu'ils corrigent leurs faiblesses persistantes.
En réponse à la menace principale de détournement de SIM, qui consiste pour un cybercriminel à obtenir une copie de la puce de sa victime afin de capturer les messages qui lui sont destinés, une entreprise telle que JT Group, dont la responsable de la protection contre la fraude, Clare Messenger, était récemment interviewée pour iSMG, développe des technologies sophistiquées capables de repérer en temps réel les cas suspects, de manière à intercepter les attaques avant qu'elles n'aient produit de dégâts.
Il peut s'agir, entre autres, de déclencher une alerte lorsque l'utilisateur a renouvelé sa SIM depuis peu et, simultanément, accède à la plate-forme à sécuriser depuis un nouvel appareil. Selon la proximité des événements, l'opération envisagée serait alors bloquée et soumise à d'autres modalités de contrôle, en attente de vérifications complémentaires. Et, grâce aux riches données collectées sur les réseaux téléphoniques, une multitude d'autres moyens de détection d'anomalies sont susceptibles d'être mis en œuvre.
Ces garde-fous supplémentaires sont certes bienvenus… mais ils ne peuvent masquer une faille autrement plus importante, qui concerne l'industrie dans son ensemble. En effet, le point de départ du phénomène de fraude réside essentiellement dans la faiblesse des dispositifs d'identification des clients des opérateurs : en toute logique, des escrocs ne devraient pouvoir s'approprier la SIM d'un tiers. Et voilà la première ligne de défense qu'il faudrait (ou aurait fallu) dresser, toute autre mesure relevant du pis-aller.
C'est une dérive historique qui a conduit à la situation actuelle. Initialement, l'attribution d'une puce de reconnaissance sur un réseau mobile ne présentait pas d'enjeu majeur de sécurité et les procédures correspondantes visaient donc d'abord à limiter les frictions pour les abonnés. Mais, au fil du temps, le téléphone est devenu un véritable instrument d'authentification personnelle, affublé d'un niveau de confiance maximal, bien que les opérateurs n'aient engagé aucun effort pour mériter une telle élévation de privilège.
Tant que la gestion et le contrôle de l'identité des usagers n'aura pas atteint les plus hauts standards du marché, il est absurde pour des établissements bancaires, qui s'y soumettent eux-mêmes avec une extrême rigueur, de déléguer la moindre fraction de la sécurité de leurs clients aux acteurs des télécommunications. Dans ces conditions, la seule solution viable et raisonnable à ce stade est celle qui est dorénavant préconisée officiellement : abandonner le SMS comme facteur d'authentification secondaire.
Aucun commentaire:
Enregistrer un commentaire
Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)