Code reçu par SMS : Orange, Free, SFR et Bouygues lancent un système anti-usurpations d’identité

La sécurité des codes de validation reçus par SMS inquiète Orange, Free, SFR et Bouygues qui annoncent l’arrivée prochaine d’une solution pour éviter les usurpations d’identité. Les services de paiement en ligne pourront ainsi savoir par exemple lorsque la carte SIM d’un mobile a été changée trop récemment, pour proposer une méthode d’authentification plus forte.

Arnaque carte SIM SMS OTP

Orange, Free, SFR, Bouygues et les autres opérateurs de L’Association Française du Multimédia Mobile (AFMM) annoncent l’arrivée d’une solution commune pour renforcer la sécurité des codes de validation à usage unique reçus par SMS lors de certaines transactions en ligne, en particulier les paiements. Les critiques visant le système d’authentification SMS One Time Password (code à usage unique ou OTP, ndlr) se multiplient depuis plusieurs mois.

Code reçu par SMS : Orange, Free, SFR et Bouygues veulent mettre fin aux usurpations d’identité

Une directive européenne presse ainsi les établissements bancaires et les eCommerçants d’adopter d’autres modes d’authentification plus sécurisés. Mais elle n’est à l’heure actuelle que partiellement appliquée – et prévoit désormais une période de transition de trois ans. Or, il y a dans le monde de plus en plus de cas d’usurpations d’identité liés au système SMS OTP. Le plus spectaculaire est sans doute le piratage récent du compte de Jack Dorsey, le patron et fondateur de Twitter.

Des pirates sont ainsi parvenus à convaincre son opérateur de leur envoyer une nouvelle carte SIM à partir de laquelle ils ont pu recevoir les codes à usage unique par SMS et se connecter à son compte – une technique de piratage baptisée SIM Swap. Il suffit en effet souvent de quelques informations personnelles comme la date de naissance, adresse ou numéro de téléphone pour effectuer certaines demandes à votre opérateur – comme le renouvellement de carte SIM – par téléphone.

Des données qu’il n’est pas si compliqué de glaner, que ce soit via les réseaux sociaux, du social engineering ou la consultation de fuites de données. Les opérateurs de l’AFMM préparent donc une riposte transitoire d’ici à ce que le système SMS OTP soit entièrement remplacé par quelques chose de plus sécurisé d’ici quelques années.

Leur solution – dont ils ne donnent pas encore de détails sur les modalités techniques – « permet aux fournisseurs de service en ligne de savoir si la carte SIM a été changée récemment et de mieux juger le risque que représenterait une authentification basée sur celle-ci », explique l’AFMM dans son communiqué. Avant de préciser que « si la carte SIM est considérée trop récente une autre méthode d’authentification pourra toujours être proposée à l’internaute ou mobinaute ».

Lire également : Des pirates peuvent tout espionner sur votre smartphone avec un SMS invisible !

Cette solution de lutte contre le SIM Swap sera déployée d’ici la fin de l’année 2019 et tout au long de l’année 2020.

Source : AFMM

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…

NordVPN : des faux sites propagent un dangereux malware bancaire

Des pirates profitent de la popularité de NordVPN pour diffuser Win32.Bolik.2, un malware bancaire sur l’ordinateur de leurs victimes. Des faux sites, imitant à la perfection l’interface de celui de NordVPN, propagent en effet des versions vérolées du célèbre VPN. Une…