Commentaires : Quelle est cette arnaque à la carte SIM dont a été victime le P.-D.G. de Twitter?

Le piratage du compte de Jack Dorsey, P.-D.G. de Twitter, a mis en lumière un type de fraude de plus en plus répandu : les arnaques à la carte SIM. Et les conséquences peuvent aller bien au-delà de quelques tweets injurieux ou racistes.

2 J'aime

« Nous devons chercher des solutions qui ne soient pas faciles à exploiter par les fraudeurs mais faciles à adopter par les gens »… ca… c’est vraiment créatif . :smiley:

1 J'aime

Un petit article sur le sujet par rapport aux banques:

Peut-on y voir une opportunité pour pousser la sécurisation par la biométrie?

2 J'aime

Ben il y aurait un moyen pas forcément simple mais efficace : l’envoi d’un document d’identité lors de la souscription et une videoconf plutôt qu’un appel voix uniquement pour contrôler la gueule du demandeur.

Sinon, un truc beaucoup plus simple pourrait être l’utilisation d’un authentificateur (le truc qui génère un chiffre aléatoire tous les 20s) logiciel ou matériel que l’opérateur pourrait contrôler.

Non, ça s’appelle une lapalissade :wink:

2 J'aime

Ce type de manip s’appelle “SIM Swap”.
Il existe des solutions pour détecter si cela s’est produit.
En effet, les opérateurs mettent à disposition des acteurs du marché (providers SMS en particuliers) des API qui permettent d’interroger leur système pour savoir si la carte a été récemment changée.
Les Banques, qui passent par ces providers SMS, obtiennent ainsi un score de “confiance” qui, s’il est trop bas, leur permettent de prendre la décision de ne pas envoyer le SMS avec le mot de passe à usage unique (OTP).
Cela est déployé en angleterre et arrive en France et dans plein d’autres pays.
Il sera ainsi possible de continuer à utiliser le SMS pour de l’authentification à double facteur.

2 J'aime

Cette solution est effectivement pas mal, mais oblige les utilisateurs à télécharger une appli pour l’avoir.
Cela pourrait être installé d’office sur le téléphone dès la sortie d’usine, mais les utilisateurs saurton-ils l’utiliser ou prendront-ils le pli? Et il faut un standard adopté par toutes les banques, services cloud etc… (du moins je crois :stuck_out_tongue: )

1 J'aime

Ca peut être intégré à l’appli de l’opérateur comme le font les banques :wink:

2 J'aime

Si la majorité est corrompue dans le circuit : Si machin se fait faire en boutique une nouvelle SIM de bidule en échange de 10$. Que faire?