Blog OneSpan

Forcer les compagnies de téléphone à sécuriser l'authentification par SMS causerait plus de mal que de bien

Authentification
Steven Murdoch,
Forcing Phone Companies to Secure SMS Authentication Would Cause More Harm than Good

Jack Monroe, écrivain et militant de l'alimentation, est devenu la dernière victime très médiatisée d'une escroquerie à l'échange de SIM, perdant plus de 5 000 euros de son PayPal et de ses comptes bancaires au service d'un criminel qui a intercepté des codes d'authentification par SMS. La directive sur les services de paiement exige que les victimes de fraude redeviens leur argent, mais ce processus n'est pas toujours rapide ou simple. Lorsque (comme je l'espère) l'argent ne finissent par être remboursé, elle est toujours peu susceptible d'obtenir une indemnisation pour les pertes conséquentes, ni pour le bouleversement causé. Il n'est pas surprenant que cette expérience a été stressante pour Jack, comme ce serait pour la plupart des gens dans sa situation.

Je suis, bien sûr, très compréhensif envers les victimes de fraude SIM-swap et de reconnaître les coûts financiers substantiels, ainsi que le sentiment de violation qui en résulte. Naturellement, les doigts sont pointés vers les compagnies de téléphone et suivi avec des appels pour eux de faire de meilleurs contrôles d'identité avant de transférer un numéro de téléphone à une nouvelle carte SIM. Je pense que ce n'est pas tout à fait juste. Le vrai problème est que les institutions financières comptent sur la compagnie de téléphone pour effectuer l'authentification, mais ne garantissent pas que le niveau de sécurité fourni est approprié pour les sommes d'argent à risque. Cela laisse leurs clients à ramasser les morceaux quand les choses tournent mal.

Authentification SMS plus sécurisée

Mais que faire si les compagnies de téléphone ont fait un meilleur travail à distribuer des cartes SIM de remplacement? Peut-être que le gouvernement pourrait les pousser à le faire, ou les compagnies de téléphone pourrait juste en avoir marre de la mauvaise presse. Les compagnies de téléphone pourraient, en principe, mettre en place un processus de réémission de cartes SIM qui correspondrait au niveau de sécurité que les banques attendent pour l'authentification par SMS. Mettons de côté la question que SMS n'a jamais été conçu pour être sécurisé, et que ces processus mettrait en place le coût des factures de téléphone - serait-il résoudre le problème? Je dirais que ce n'est pas le cas. Les processus suffisamment bons pour l'authentification bancaire pourraient exclure les gens de recevoir des appels téléphoniques et nuire de façon disproportionnée aux membres les plus vulnérables de la société.

Faire des appels téléphoniques est une tâche différente de l'authentification du système de paiement, et ils doivent être des systèmes distincts. Je pense que l'une des raisons les plus importantes est que les deux activités ont des exigences différentes pour la vitesse de remplacement d'un appareil perdu. Cette caractéristique est essentielle pour s'assurer que les processus de réémission sont suffisamment sécurisés.

Le remplacement des périphériques d'authentification bancaire est assez lent par rapport au remplacement d'une carte SIM. Parfois, vous devez attendre une lettre de la banque, et parfois vous avez besoin d'aller dans une succursale pour recueillir votre dispositif d'authentification. Mais, les quelques jours qu'il faut pour activer le nouvel appareil donne une victime de fraude imminente plus d'occasions de repérer une escroquerie en cours avant que l'argent a été prise. Étant donné que les clients peuvent toujours accéder au canal bancaire en ligne ou visiter la succursale bancaire, la courte attente n'est pas un problème. Il y a généralement d'autres façons dont les clients peuvent effectuer des transactions entre-temps. Le compromis est que vous créez un processus de réémission beaucoup plus sûr.

Conséquences imprévues

En revanche, tout retard dans la récupération de l'accès à un numéro de téléphone peut être coûteux. Une étude de SimplySecure a constaté que l'économie de concert signifie que les clients qui manquent un appel téléphonique risquentde perdre sur un quart de travail , et peut-être être goudronné comme peu fiable et donc être passé pour les travaux futurs. Perdre un téléphone mettrait déjà une pression sur les finances de beaucoup de gens. Les jours d'attente pour une carte SIM de remplacement pour être actif, les appels téléphoniques manquants, tout en crédit téléphonique est verrouillé pourrait facilement être le déclencheur d'un cycle de difficultés financières. Il est clair qu'il est nécessaire d'avoir un processus rapide et facile pour réémettre une carte SIM. Il y aurait toujours un risque d'attaques SIM-swap, mais si nous déplaçons l'authentification de paiement loin de SMS, la valeur pour les criminels de numéro de téléphone n'est plus aussi élevé, autre que le crédit d'appel que la compagnie de téléphone devrait rembourser.

La séparation de l'authentification et des appels téléphoniques permet à leurs différentes exigences de sécurité de guider la conception de processus appropriés pour la récupération des périphériques perdus. Les codes d'authentification basés sur sms forcent deux activités distinctes à partager l'infrastructure, ce qui conduit à des compromis qui sont insuffisants pour l'un ou l'autre. Cela ne veut pas dire que la coopération entre les banques et les compagnies de téléphone ne peut pas jouer un rôle dans une meilleure solution, tant que l'application d'authentification était séparée du numéro de téléphone. Les clients pouvaient recevoir des appels téléphoniques sur une carte SIM rééditée avant que l'application d'authentification n'ait chargé les clés à la suite de contrôles de sécurité améliorés. Les banques pourraient également émettre des périphériques d'authentification dédiés ou déployer une application qui envoie des codes d'authentification par le vote push messages. Quelle que soit la solution choisie par les banques, le processus de traitement d'un appareil perdu ne doit pas être autorisé à introduire un point faible en matière de sécurité. Les banques et les institutions financières peuvent faire le choix de la technologie d'authentification qu'elles trouvent appropriée, mais elles doivent accepter la responsabilité de leur décision et ne pas répercuter les coûts sur les victimes de fraude.

Cet article, initialement publié le 14 octobre 2019, est paru pour la première fois sur Bentham’s Gaze.

DIGIPASS CX Smart Devices
Vue d'ensemble

Voici les nouveaux appareils d’authentification intelligents DIGIPASS CX

Découvrez une sécurité d’identité avec un degré d’assurance élevé, conçue pour garantir l’intégrité de toutes les interactions client.

En savoir plus
Steven Murdoch

Steven Murdoch est architecte de la sécurité de l'innovation au OneSpan Innovation Center de Cambridge. Il est chercheur à l'Université Royal Society au Groupe de recherche sur la sécurité de l'information du Département d'informatique de l'University College de Londres.

Haut de page