Hackers Silent Authentication

Authentification silencieuse - pourquoi c'est l'avenir et pourquoi les fraudeurs la détestent

Ils étaient autrefois considérés comme une sorte de bombe intelligente qui porterait un coup fatal aux escrocs.

Mais récemment, les fraudeurs ont trouvé une ou deux failles qui leur permettent de contourner les OTP de sécurité jusqu’alors totalement impénétrables.

Il n’y a pas lieu de paniquer: les OTP restent un moyen efficace de protéger les utilisateurs contre les fraudes lors des transactions. Mais il existe désormais des moyens connus permettant aux fraudeurs de les contourner.

L'un des plus grands problèmes dans la guerre contre la fraude est que l'ennemi cherche toujours à tourner à son avantage l'armement destiné à l'éradiquer et à l'utiliser lui-même comme une arme. C'est justement ce qui a commencé à se produire dans certaines circonstances avec les mots de passe à usage unique (OTP).

L’une des escroqueries les plus récentes, par exemple, permet aux fraudeurs de s’emparer des OTP sans même disposer du téléphone de la victime ou d’une réplique de celui-ci. Au lieu de cela, ils envoient un SMS semblant provenir de la banque de leur cible et lui demandant si elle vient d’effectuer une transaction de grande valeur – une réservation de vacances de 10 000 livres sterling, par exemple. Le titulaire du compte, horrifié, répondra « non ». Un nouveau SMS leur demandera alors de vérifier cette réponse en partageant l’OTP qu’ils sont sur le point de recevoir. Au même moment, le pirate tentera de se connecter à un compte appartenant à sa victime. Un véritable OTP est alors envoyé par SMS sur le téléphone de la victime, qui, inquiète de sa réservation de vacances, le saisit comme on le lui a demandé. Ce faisant, ils envoient bien sûr ce code d’accès à un pirate informatique.

Vulnérabilités des OTP

À l’autre bout de l’échelle, à un niveau plus grossier mais plus effrayant, se trouve cette version. Un de mes amis a été agressé récemment. Ils ont pris son téléphone et l’ont menacé de violence s’il ne révélait pas son code PIN pour le déverrouiller. Une fois qu’ils l’ont obtenu, ils peuvent accéder à toutes ses applications et commencer à semer le désordre avec son argent. Longtemps après que le téléphone ait été déclaré volé, les utilisateurs recevaient encore des OTP pour faciliter leur vol, car il n’y avait aucune corrélation entre le statut du téléphone en tant que vol et sa capacité à effectuer des transactions.

Il existe de nombreuses variantes de ces escroqueries, mais l’idée générale est la suivante : les OTP présentent certaines vulnérabilités qui peuvent permettre aux criminels de les contourner.

Authenticate explanation design one app blog post

C'est pourquoi nous sommes si enthousiastes à l'idée de l'arrivée de l'authentification silencieuse.

Il s’agit d’un moyen rapide, sans friction et, surtout, entièrement sécurisé de vérifier les utilisateurs, qui sera bientôt un élément important de la sécurité en ligne. L’authentification silencieuse, qui peut être utilisée au moment de l’inscription ou lors d’achats ultérieurs, élimine les vulnérabilités que les OTP ont développées.

La raison en est qu’il est basé uniquement sur les données en temps réel du téléphone portable de l’utilisateur.

Cela fait des années que nous insistons sur le fait que la clé de la sécurité en ligne réside dans l’utilisation des données de télécommunications, qui nous en apprennent plus sur l’utilisateur que n’importe quelle autre information. Et c’est exactement ce que fait l’authentification silencieuse. Il est donc très gratifiant de voir qu’il est enfin adopté comme l’arme de sécurité de pointe que nous avons toujours su qu’il pouvait être.

Et j’espère que cela va sans dire, mais nous serons bien sûr à l’avant-garde de l’introduction de l’authentification silencieuse dans l’usage courant.

Notre propre version de l’authentification silencieuse s’appelle TMT Authenticate et met en jeu les données de plus de 50 opérateurs de réseaux de télécommunications dans le monde. Cela signifie qu’il offre une véritable protection de sécurité mondiale à un niveau jamais atteint auparavant.

Il élimine cet antagonisme de longue date qui consiste à devoir choisir entre des contrôles de fraude de pointe et une expérience utilisateur sans friction : soudain, il est possible d’avoir les deux.

Le gagnant final est le client, car il n’a jamais voulu avoir à choisir entre une expérience en ligne rapide et transparente et un sentiment de sécurité et de protection.

Désormais, ils n’auront plus à le faire.

Auteur

Fergal Parkinson

Fergal Parkinson

CMO ET COFONDATEUR

Want more insights?

Sign up to join our mailing list.

Avant de partir .

Jetez un coup d’œil à notre dernier livre blanc, Tackling Mobile Identity Fraud in Financial Services . Nos experts produits sont toujours à votre disposition pour répondre à vos questions !