Cartes bancaires : les SMS ne sécurisent pas à 100% les paiements en ligne
Une agence fédérale américaine vient de mettre en garde sur les risques de piratage des SMS. En France, l’Observatoire de la sécurité des cartes sensibilise les opérateurs de téléphonie mobile à la fraude.
C’est une voix supplémentaire qui vient mettre en garde sur les risques de l ’utilisation des codes envoyés par SMS pour authentifier une opération. Selon un rapport récemment publié par l’Institut national américain des normes et de la technologie (NIST), relevé par « Le Monde » , le recours au SMS n’est pas sans faille, puisque des logiciels malveillants sur le téléphone peuvent permettre à des pirates de rediriger l’envoi du SMS vers un autre smartphone.
Cet avertissement n’est pas anodin dans la mesure où le protocole « 3D-Secure » , supporté par les grands réseaux internationaux de cartes de paiement (Visa, MasterCard…), et qui repose sur l’envoi d’un code par SMS, est aujourd’hui considéré comme le rempart le plus efficace contre la fraude à la carte bancaire pour les paiements en ligne, pour valider un paiement sur Internet.
La technique de “SIM-swap”
L’alerte de l’agence fédérale américaine n’est toutefois pas une surprise pour le secteur des paiements. « Les émetteurs de cartes ont noté l’apparition de cas de détournement de lignes téléphoniques par les fraudeurs, au moyen de techniques dites de “SIM-swap” », indiquait l’Observatoire de la sécurité des cartes de paiement (logé au sein de la Banque de France) dans son dernier rapport annuel , publié en juillet. Concrètement, le fraudeur usurpe l’identité du titulaire d’une ligne de téléphonie mobile auprès de son opérateur, afin de se faire remettre une nouvelle carte SIM, qui lui permettra de recevoir les SMS d’authentification des paiements.
Le phénomène n’est pas encore chiffré. L’Observatoire note que la réémission de cartes SIM (parce que le client a perdu sa carte ou a besoin d’une carte SIM d’un autre format parce qu’il a changé de téléphone) représente plus de 2,5 millions d’opérations par trimestre. « Nous serons en mesure d’évaluer quantitativement la fraude sur les paiements 3D-Secure dans le prochain rapport annuel de l’Observatoire, publié à l’été 2017 », indique aux « Echos » Julien Lasalle, adjoint au chef de service de surveillance des moyens de paiement scripturaux à la Banque de France. « La fraude sur les paiements 3D-Secure avec SMS représente moins de 10 % du total de la fraude à la carte bancaire sur Internet », estime pour sa part Pierre Chassigneux, directeur des Projets et des risques au GIE Cartes Bancaires CB.
Des faiblesses difficiles à exploiter par les fraudeurs
Dès la fin 2014, la Banque de France s’est rapprochée du régulateur du secteur de la téléphonie, l’ARCEP, et a commencé à sensibiliser les quatre principaux opérateurs de téléphonie mobile sur les mesures de protection à mettre en œuvre pour la réémission de cartes SIM. Il s’agit principalement d’améliorer le processus d’identification des usagers au moment de la réémission de la carte SIM du téléphone.
L’Observatoire de la sécurité des cartes de paiement se veut toutefois rassurant. « L’expérience montre que les faiblesses présumées de la technologie SMS, tels que le piratage du téléphone ou l’usurpation de carte SIM, sont très difficiles à exploiter pour les fraudeurs », tempère Julien Lasalle. « La mise en œuvre au niveau national de 3D Secure a clairement fait ses preuves en matière de sécurisation des paiements », souligne-t-il encore. « Et en cas de fraude, le client est entièrement protégé, puisque sa banque le rembourse », ajoute Pierre Chassigneux.
Nouveau : découvrez nos offres Premium !
Nos Vidéos
SNCF : la concurrence peut-elle faire baisser les prix des billets de train ?
Crise de l’immobilier, climat : la maison individuelle a-t-elle encore un avenir ?
