Même si marginale en France, la fraude SIM Swap inquiète les fournisseurs de service en ligne et les particuliers français.
Début septembre 2019, la fraude SIM Swap ou SIM splitting a gagné en notoriété depuis qu’elle a été pointée comme étant à la source du piratage du compte Twitter de Jack Dorsey, patron de Twitter.
Cette fraude consiste à récupérer une nouvelle carte SIM associée à un numéro appartenant à une autre personne auprès d’un opérateur (sous le prétexte d’un vol ou d’une perte), à l’aide d’informations personnelles collectées préalablement aussi de manière frauduleuse.
Une fois la nouvelle carte SIM activée par le fraudeur, le vrai propriétaire de la carte ne pourra plus utiliser son mobile. Le fraudeur lui, en possession de la nouvelle carte SIM, pourra pirater ses comptes en ligne en recevant à la place de la victime le SMS OTP avec le code unique de validation – la majeur partie du temps à l’aide des identifiants de connexion de la victime qui doivent également être récupérés en amont.
Même si l’idée de perdre le contrôle de ses comptes, ou de transactions, en ligne peut être anxiogène pour n’importe quel internaute ou mobinaute, il faut raison garder, car cette pratique reste tout de même marginale en France. De plus, selon le rapport 2018 de l’Observatoire de la sécurité des moyens de paiement de la Banque de France, cette fraude connait une baisse à partir de 2017 grâce notamment aux mesures prises par les banques et les opérateurs télécoms.
La nouvelle solution proposée par les opérateurs Bouygues Telecom, Orange et SFR permettra aux fournisseurs de service en ligne et e-commerçants de mesurer le risque de fraude SIM Swap et renforcer la fiabilité des systèmes d’authentification.
Conscients que la fiabilité des cartes SIM est un enjeu majeur pour assurer la sécurité et la pérennité d’usages tels que l’authentification par SMS OTP, les opérateurs Bouygues Telecom, Orange et SFR, ont développé avec la coordination de l’af2m une solution multi-opérateurs contre la fraude SIM Swap. Elle permet aux fournisseurs de service en ligne de savoir si la carte SIM a été changée récemment et de mieux juger le risque que représenterait une authentification basée sur celle-ci. Si la carte SIM est considérée trop récente une autre méthode d’authentification pourra toujours être proposée à l’internaute ou mobinaute.
La solution de lutte contre les fraudes SIM Swap est la première née des solutions développées au sein de l’af2m avec les opérateurs Bouygues Telecom, Orange et SFR autour de l’identité numérique qui devront être lancées tout au long des années 2019 et 2020.
« Nous nous félicitons du lancement prochain de cette solution de lutte contre la fraude SIM Swap grâce à la motivation et l’implication des opérateurs membres de l’af2m. Cette solution est indispensable pour l’avenir des méthodes d’authentification s’appuyant sur la carte SIM. Préserver la confiance des fournisseurs de services en ligne, des e-commerçants, et des particuliers est une priorité pour l’af2m et ses membres. »
Christian Bombrun, Président de l'af2m
« Le SMS OTP est mort, vive le SMS OTP sécurisé ! »
Le SMS OTP utilisé pour de l’authentification en ligne a encore de beaux jours devant lui grâce à cette innovation. Malgré l’entrée en vigueur le 14 septembre des RTS encadrant la sécurisation des paiements dans le cadre de la DSP2, si le SMS OTP vient à être remplacé, cela ne pourra se faire que progressivement. Bertrand Pineau responsable veille, innovation et développement à la FEVAD prévoyait déjà en 2018 que « le 3D Secure avec le système SMS OTP a mis dix ans à s’installer et ne va pas disparaître du jour au lendemain. Ses fragilités ne sont pas rédhibitoires et il permet de lutter très efficacement contre la fraude. Par ailleurs, il fait l’objet d’une bonne adoption par les consommateurs. ». L’avis de l’Autorité bancaire européenne du 21 juin 2019 permettant à l’Observatoire de la Sécurité des Moyens de Paiement de prévoir un plan de migration de 3 ans le confirme.
De plus, ce remplacement n’est pas une fatalité. La simple association du SMS OTP à un code personnel constitue une authentification renforcée répondant aux exigences des RTS de la DSP2.
Compatible avec 100% du parc mobile le SMS OTP peut toujours répondre aux besoins d’une multitude de services au-delà du paiement nécessitant une authentification. Avec leur solution de lutte contre la fraude SIM Swap, les opérateurs membres de l’af2m créent une nouvelle génération de SMS OTP, plus fiable tout en préservant sa praticité.