Orange, SFR et Bouygues Telecom proposent une solution pour limiter les risques de fraude exploitant la technique de l'échange de cartes SIM, ou SIM Swap.

Orange, SFR et Bouygues Telecom s’unissent contre le « SIM Swapping ». Ce mardi 17 septembre, l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs (AFMM) annonce « l’arrivée d’une solution commune » dans l’hexagone pour contrer ce mécanisme de fraude et ainsi « renforcer la fiabilité des systèmes d’authentification ».

Concrètement, la solution imaginée par les membres de l’AFMM (Free Mobile n’en est pas membre) consiste à permettre aux fournisseurs de service en ligne — comme un réseau social, un service bancaire ou un site de commerce électronique, par exemple — de « savoir si la carte SIM [du client] a été changée récemment » et, le cas échéant, de déterminer une solution de sécurité plus adaptée.

carte sim
DeclanTM

SIM Swap, la technique de l’échange de cartes SIM

En effet, le « SIM Swapping », ou « échange de cartes SIM », est une fraude qui consiste à usurper l’identité du titulaire de la ligne de téléphonie mobile en faisant croire à l’opérateur que la carte SIM a été perdue, volée ou endommagée. Le fraudeur demande alors que l’on porte le numéro associé à la bonne carte SIM vers une autre, en sa possession. Il peut alors recevoir les appels et les SMS de sa cible.

Cette méthode a été récemment mise en lumière lorsque le compte de Jack Dorsey, le fondateur de Twitter, a été détourné de cette façon. Cette technique constitue de fait le point faible de l’authentification à deux facteurs reposant sur le SMS (qui demande le mot de passe puis envoi un SMS sur le numéro de téléphone associé au compte), qui est de plus en plus délaissée pour des authentifications alternatives.

smartphone
Les fournisseurs de service en ligne seront prévenus en cas de changement récent de carte SIM. // Source : E1N7E

Mais avec la contre-mesure de l’AFMM, les services en ligne pourront «  mieux juger le risque que représenterait une authentification  » basée sur la carte SIM. à savoir l’envoi d’un code par SMS pour valider la connexion à un compte, après avoir entré son mot de passe. « Si la carte SIM est considérée trop récente une autre méthode d’authentification pourra toujours être proposée à l’internaute ou mobinaute ».

Bien qu’il soit heureux que les opérateurs planchent sur une solution pour neutraliser le SIM Swapping, l’AFMM rappelle que le contournement des procédures d’identification du client mises en place par les opérateurs de téléphonie mobile est « marginal » en France. Le rapport annuel 2017 de l’observatoire de la sécurité des moyens de paiement, publié par la Banque de France, est en outre en recul.

Partager sur les réseaux sociaux