La sécurité des codes de validation reçus par SMS inquiète Orange, Free, SFR et Bouygues qui annoncent l'arrivée prochaine d'une solution pour éviter les usurpations d'identité. Les services de paiement en ligne pourront ainsi savoir par exemple lorsque la carte SIM d'un mobile a été changée trop récemment, pour proposer une méthode d'authentification plus forte.

Orange, Free, SFR, Bouygues et les autres opérateurs de L'Association Française du Multimédia Mobile (AFMM) annoncent l'arrivée d'une solution commune pour renforcer la sécurité des codes de validation à usage unique reçus par SMS lors de certaines transactions en ligne, en particulier les paiements. Les critiques visant le système d'authentification SMS One Time Password (code à usage unique ou OTP, ndlr) se multiplient depuis plusieurs mois.

Code reçu par SMS : Orange, Free, SFR et Bouygues veulent mettre fin aux usurpations d'identité

Une directive européenne presse ainsi les établissements bancaires et les eCommerçants d'adopter d'autres modes d'authentification plus sécurisés. Mais elle n'est à l'heure actuelle que partiellement appliquée – et prévoit désormais une période de transition de trois ans. Or, il y a dans le monde de plus en plus de cas d'usurpations d'identité liés au système SMS OTP. Le plus spectaculaire est sans doute le piratage récent du compte de Jack Dorsey, le patron et fondateur de Twitter.

Des pirates sont ainsi parvenus à convaincre son opérateur de leur envoyer une nouvelle carte SIM à partir de laquelle ils ont pu recevoir les codes à usage unique par SMS et se connecter à son compte – une technique de piratage baptisée SIM Swap. Il suffit en effet souvent de quelques informations personnelles comme la date de naissance, adresse ou numéro de téléphone pour effectuer certaines demandes à votre opérateur – comme le renouvellement de carte SIM – par téléphone.

Des données qu'il n'est pas si compliqué de glaner, que ce soit via les réseaux sociaux, du social engineering ou la consultation de fuites de données. Les opérateurs de l'AFMM préparent donc une riposte transitoire d'ici à ce que le système SMS OTP soit entièrement remplacé par quelques chose de plus sécurisé d'ici quelques années.

Leur solution – dont ils ne donnent pas encore de détails sur les modalités techniques – “permet aux fournisseurs de service en ligne de savoir si la carte SIM a été changée récemment et de mieux juger le risque que représenterait une authentification basée sur celle-ci”, explique l'AFMM dans son communiqué. Avant de préciser que “si la carte SIM est considérée trop récente une autre méthode d’authentification pourra toujours être proposée à l’internaute ou mobinaute”.

Lire également : Des pirates peuvent tout espionner sur votre smartphone avec un SMS invisible !

Cette solution de lutte contre le SIM Swap sera déployée d'ici la fin de l'année 2019 et tout au long de l'année 2020.

Source : AFMM