Banques de Singapour et Passkeys : le remplacement des OTP par SMS

L'Autorité Monétaire de Singapour (MAS) a annoncé que toutes les grandes banques de détail du pays doivent progressivement abandonner les OTP pour les remplacer par des « jetons numériques » dans les trois prochains mois. Cette mesure, en collaboration avec l'Association des Banques de Singapour (ABS), vise à protéger les consommateurs contre le phishing (hameçonnage) et d'autres arnaques qui ont coûté plus de 14 millions de dollars en 2023. Dans cet article de blog, nous allons aborder les points suivants :

• Abandon des OTP : Pourquoi la MAS donne-t-elle la priorité à l'abandon des OTP ?
• Jetons numériques : Que sont les jetons numériques et pourquoi sont-ils plus sûrs ?
• Passkeys : Les passkeys pourraient-ils aider à satisfaire les nouvelles exigences ?

Commençons par examiner de plus près l'annonce de l'Autorité Monétaire de Singapour (MAS) : « Les banques de Singapour vont renforcer leur résilience face aux arnaques par phishing ».

Le 9 juillet 2024, l'Autorité Monétaire de Singapour (MAS) et l'Association des Banques de Singapour (ABS) ont annoncé une étape importante pour renforcer la sécurité des services bancaires numériques en abandonnant progressivement l'utilisation des codes à usage unique (OTP). Cette transition, prévue sur les trois prochains mois, vise à mieux protéger les consommateurs contre les arnaques par phishing, qui sont devenues la principale menace pour les services bancaires numériques. Bien que l'annonce ne mentionne que les « mots de passe à usage unique » et les OTP, elle cible spécifiquement les OTP par SMS.

Les clients qui ont activé leurs jetons numériques sur leurs appareils mobiles devront désormais les utiliser pour se connecter à leurs comptes bancaires via un navigateur ou une application bancaire mobile. Le jeton numérique authentifiera les connexions des clients sans avoir besoin d'OTP, que les escrocs peuvent voler ou obtenir en trompant les clients. Nous expliquerons plus en détail ce que sont les jetons numériques dans le chapitre suivant.

Les avancées technologiques et les techniques de phishing sophistiquées ont dépassé la sécurité qu'offraient autrefois les OTP par SMS. Les escrocs créent désormais de faux sites web bancaires qui ressemblent beaucoup aux sites authentiques, incitant les clients à saisir leurs OTP et autres identifiants. Le passage à des facteurs d'authentification résistants au phishing renforce la sécurité, rendant beaucoup plus difficile pour les escrocs d'obtenir un accès non autorisé au compte d'un client.

Les arnaques par phishing restent une préoccupation constante à Singapour. Les banques continuent de collaborer étroitement avec la MAS et la police de Singapour pour développer et introduire des mesures qui renforcent la résistance collective face à l'évolution du paysage des arnaques. Mme Ong-Ang Ai Boon, directrice de l'ABS, a souligné que bien que la nouvelle mesure puisse entraîner quelques désagréments, c'est une étape nécessaire pour prévenir les arnaques et protéger les clients.

Mme Loo Siew Yee, directrice générale adjointe (Politique, Paiements et Criminalité financière) à la MAS, a souligné que la MAS s'engage à travailler en étroite collaboration avec les banques pour protéger les consommateurs contre les arnaques bancaires numériques. Elle a noté que cette dernière mesure complétera les bonnes pratiques d'hygiène numérique que les clients doivent continuer à suivre, comme la protection de leurs identifiants bancaires.

Cette mesure de la MAS et de l'ABS montre leur engagement à améliorer la sécurité des services bancaires numériques en imposant l'utilisation de jetons numériques. Ce qui manque à l'annonce, c'est une description claire des exigences pour les jetons numériques en matière d'authentification. Examinons cela de plus près dans la section suivante.

Les jetons numériques représentent une avancée en matière de sécurité en ligne, offrant une alternative plus robuste aux traditionnels codes à usage unique (OTP) par SMS. Contrairement aux OTP par SMS, qui sont transmis par SMS (ou e-mail) et peuvent être interceptés ou hameçonnés, les jetons numériques sont liés à un appareil spécifique, généralement un téléphone mobile, garantissant que seul le propriétaire de l'appareil peut générer les codes d'authentification nécessaires.

Les jetons numériques peuvent fonctionner de différentes manières :

• Jeton numérique basé sur le temps (moins sécurisé) : Ces jetons sont des codes dynamiques basés sur le temps, utilisés pour authentifier l'identité d'un utilisateur. Ils sont produits par une application native sur l'appareil mobile de l'utilisateur, comme l'application propriétaire d'une banque. Dans la plupart des implémentations, le code réel n'est plus affiché ; seule une notification push demande à l'utilisateur de consentir à la transaction avec ses détails, puis est retransmise au serveur de la banque.
• Jeton numérique cryptographique (plus sécurisé) : Un jeton numérique cryptographique représente une méthode d'authentification encore plus sûre que les jetons basés sur le temps. Il utilise une paire de clés publique-privée stockée dans l'application ou dans l'enclave sécurisée du téléphone mobile. Pendant le processus d'authentification, le serveur de la banque envoie un défi à l'appareil de l'utilisateur. L'appareil utilise alors sa clé privée pour signer ce défi, et la réponse signée est renvoyée au serveur. Le serveur vérifie la signature à l'aide de la clé publique correspondante. Cette méthode garantit que même si un attaquant intercepte la communication, il ne peut pas répliquer le processus d'authentification sans accès à la clé privée de l'utilisateur, qui reste stockée en toute sécurité sur l'appareil.

La sécurité des jetons numériques est renforcée grâce à plusieurs fonctionnalités clés :

1. Liaison à l'appareil : Le jeton est lié à un appareil spécifique, ce qui signifie que les codes d'authentification ne peuvent être générés que par cet appareil. Cette liaison à l'appareil rend extrêmement difficile pour les attaquants de répliquer ou de transférer le jeton sur un autre appareil.
2. Configuration multifacteur : La configuration initiale du jeton numérique implique souvent l'utilisation d'OTP envoyés par SMS et e-mail pour vérifier l'identité de l'utilisateur, en plus du code PIN bancaire (certaines banques retirent également les jetons physiques avec cette approche. Le jeton OTP physique peut alors être utilisé). Une fois le jeton activé, il devient la principale méthode d'authentification, éliminant le besoin de futurs OTP et leurs vulnérabilités associées. Par exemple, la banque DBS utilise une combinaison d'OTP par SMS et par e-mail lors de la configuration initiale du jeton numérique, après quoi l'authentification continue repose uniquement sur le jeton.
3. Protection cryptographique ou basée sur le temps : Les jetons numériques emploient de puissants algorithmes cryptographiques ou des algorithmes basés sur le temps (TOTP) pour générer les codes d'authentification, garantissant que même si la communication entre l'appareil et le serveur d'authentification est interceptée, les codes ne peuvent pas être facilement déchiffrés ou falsifiés.

La banque DBS, une institution financière majeure à Singapour, a mis en œuvre avec succès les jetons numériques pour renforcer la sécurité de ses clients. La banque demande :

• Ce que l'utilisateur sait : le code PIN
• Ce que l'utilisateur possède : un OTP par SMS (accès au téléphone associé au numéro)
• Ce que l'utilisateur possède : un OTP par e-mail (accès à l'e-mail associé au compte)

pour configurer le jeton numérique sur l'appareil mobile d'un client. Une fois configuré, le jeton numérique devient la seule méthode pour authentifier les connexions et les transactions, atténuant efficacement le risque d'attaques de phishing qui ciblent les OTP.

Si l'adresse e-mail connectée n'est pas à jour et qu'un jeton physique n'est pas disponible, l'utilisateur peut configurer le jeton numérique avec des options de secours :

Les options de secours incluent l'identité numérique avec Singpass, l'utilisation d'un guichet automatique vidéo (VTM) dans une agence proche du client, ou la demande d'un code d'enregistrement à recevoir par courrier physique sous 3 à 5 jours.

Le passage des OTP aux jetons numériques résout plusieurs vulnérabilités associées aux méthodes d'authentification traditionnelles :

• Résistance partielle au phishing : Comme les jetons numériques sont générés et utilisés directement sur l'appareil de l'utilisateur, il n'y a aucun risque d'interception par phishing. Même si un escroc parvient à tromper un utilisateur pour qu'il fournisse ses identifiants de connexion, il ne peut pas générer le code d'authentification nécessaire sans un accès physique à l'appareil.
• Surface d'attaque réduite : En éliminant le besoin de SMS et d'e-mails comme canaux de transmission pour les codes d'authentification, les jetons numériques réduisent la surface d'attaque que les escrocs peuvent exploiter.
• Confort d'utilisation : Bien que la configuration initiale puisse nécessiter des étapes supplémentaires, l'utilisation continue des jetons numériques est fluide et pratique pour les utilisateurs. Ils n'ont plus besoin d'attendre qu'un OTP arrive par SMS ou e-mail, ce qui peut parfois être retardé ou bloqué.

Bien que la protection contre le phishing soit partiellement améliorée, le nouveau risque est que les clients deviennent victimes d'attaques par fatigue MFA. En étant continuellement habitués aux demandes d'authentification par jeton numérique, un attaquant pourrait en profiter pour envoyer une telle demande depuis une page de phishing.

C'est la raison pour laquelle les grandes entreprises technologiques (par exemple, Google et Microsoft) qui ont subi de nombreuses violations ont commencé à introduire des défis dans ces notifications push, par exemple en demandant de choisir le bon numéro pour protéger les clients.

Les jetons numériques offrent une méthode d'authentification plus sûre dans le paysage bancaire numérique, mais n'éliminent pas complètement le risque de phishing. Un attaquant pourrait toujours tromper la victime pour qu'elle authentifie son accès en la convainquant de confirmer les demandes de jeton numérique. Ce que la mise en œuvre de la banque DBS a montré, c'est qu'il est possible d'enrôler facilement les clients dans une autre forme d'authentification en utilisant une combinaison de facteurs existants. La question est alors : pourquoi la MAS et la banque DBS n'introduisent-elles pas les passkeys ? Examinons cela.

Comme nous l'avons vu, les jetons numériques représentent un pas en avant pour sécuriser les transactions bancaires numériques par rapport aux OTP par SMS traditionnels. Cependant, bien que les jetons numériques offrent des fonctionnalités de sécurité améliorées, ils ne sont pas complètement résistants au phishing. Un attaquant pourrait toujours tromper une victime pour qu'elle authentifie une demande frauduleuse en la convainquant de confirmer les invites du jeton numérique. Cette vulnérabilité persistante suggère que les jetons numériques, bien qu'étant une amélioration, ne constituent pas une avancée assez audacieuse pour sécuriser les services bancaires en ligne.

Les Passkeys offrent une méthode d'authentification véritablement résistante au phishing. Contrairement aux jetons numériques, les passkeys sont intrinsèquement résistants aux attaques de phishing car ils ne peuvent être utilisés que sur le site web ou l'application correcte. Cela garantit que les utilisateurs ne peuvent pas être trompés pour saisir leurs identifiants sur un site frauduleux. Les Passkeys reposent sur la cryptographie à clé publique-privée, où la clé privée est stockée en toute sécurité sur l'appareil de l'utilisateur et chiffrée de manière sécurisée dans le cloud du système d'exploitation associé. La clé publique est partagée avec le service d'authentification.

Voici comment les passkeys améliorent la sécurité :

1. Résistance au phishing : Les Passkeys éliminent le risque de saisir des informations d'authentification sur de faux sites web. Comme le processus d'authentification ne peut se dérouler que sur le site légitime qui a émis le défi, les tentatives de phishing sont rendues inefficaces. Il est techniquement impossible d'utiliser un passkey sur la mauvaise page et il est également impossible pour un consommateur moyen d'exporter un passkey vers une partie tierce.
2. Prise en charge multi-appareils : Contrairement aux jetons numériques, qui sont souvent liés à un seul appareil, les passkeys peuvent être synchronisés de manière sécurisée entre les appareils authentifiés au sein du même cloud ou gestionnaire de mots de passe. Cela offre flexibilité et commodité aux utilisateurs qui accèdent à leurs services bancaires depuis divers appareils.
3. Sécurité renforcée de l'appareil : Les Passkeys exigent que l'authentification à deux facteurs (2FA) soit activée dans les écosystèmes de téléphonie mobile (comme iOS ou Android). Cette couche de sécurité supplémentaire garantit que même si un appareil est compromis, l'attaquant devrait contourner la 2FA de l'appareil pour accéder aux passkeys. Nous avons déjà détaillé ces aspects en expliquant les détails de la SCA/PSD2 sur les passkeys et expliqué pourquoi les passkeys synchronisés peuvent être utilisés pour les services bancaires.

L'Australie a reconnu l'importance de l'authentification résistante au phishing dans sa norme Essential Eight, qui définit les meilleures pratiques en matière de cybersécurité. La norme mentionne spécifiquement la nécessité d'exigences techniques qui atténuent les risques de phishing, positionnant l'Australie comme un leader en cybersécurité dans la région Asie-Pacifique. Singapour, avec son infrastructure numérique avancée, devrait suivre l'exemple de l'Australie en intégrant les passkeys dans ses normes et recommandations pour les entreprises. Cela renforcerait non seulement la sécurité, mais alignerait également Singapour sur les meilleures pratiques mondiales en matière de sécurité numérique.

Le secteur bancaire attend des directives réglementaires claires qui autoriseraient explicitement l'utilisation de passkeys synchronisés dans les services bancaires. Une telle mesure donnerait aux banques la confiance nécessaire pour adopter cette technologie de pointe et offrir à leurs clients une méthode d'authentification véritablement sûre et pratique. L'Autorité Monétaire de Singapour (MAS) a l'opportunité d'établir une nouvelle norme en matière de sécurité bancaire numérique en approuvant l'utilisation des passkeys. Ce faisant, la MAS signalerait son engagement à être pionnière dans les mesures de sécurité de pointe, garantissant que Singapour reste à l'avant-garde de l'innovation bancaire numérique.

Convertir les utilisateurs vers des jetons numériques plus sûrs est une étape importante pour améliorer la sécurité des services bancaires en ligne à Singapour. Cependant, pour l'avenir, il est essentiel que les banques commencent à adopter les passkeys, qui deviendront la norme de facto pour l'authentification web. Voici quelques recommandations clés pour que les banques de Singapour pérennisent leur infrastructure de sécurité :

1. Commencer à collecter les Passkeys tôt : Tout en passant aux jetons numériques, les banques devraient également commencer le processus de collecte des passkeys auprès des utilisateurs. Cette approche proactive préparera les banques à une transition en douceur une fois que les passkeys seront largement acceptés et adoptés. En intégrant la collecte de passkeys dans les processus d'intégration et d'authentification actuels, les banques peuvent progressivement constituer une base de données sécurisée de passkeys.
2. Remplacer les codes PIN par des Passkeys : Une étape pratique et immédiate vers l'adoption des passkeys est de remplacer les codes PIN traditionnels par des passkeys. Les Passkeys offrent une alternative plus sûre et plus pratique aux codes PIN, en s'appuyant sur la cryptographie à clé publique-privée. En mettant en œuvre les passkeys comme principale méthode d'authentification, les banques peuvent améliorer la sécurité tout en offrant une expérience utilisateur plus fluide.
3. Utiliser les Passkeys comme premier facteur ou mesure de risque supplémentaire : Les Passkeys peuvent être utilisés comme premier facteur d'authentification ou comme mesure de risque supplémentaire dans les configurations d'authentification multifacteur (MFA). L'intégration des passkeys dans le processus d'authentification fournira une couche de sécurité supplémentaire, rendant beaucoup plus difficile pour les attaquants de compromettre les comptes des utilisateurs. Les banques peuvent commencer par proposer les passkeys comme une fonctionnalité de sécurité optionnelle et en faire progressivement un élément standard du processus d'authentification.
4. Éduquer les clients sur les Passkeys : La mise en œuvre réussie des passkeys nécessite la sensibilisation et l'acceptation des clients. Les banques devraient investir dans des campagnes éducatives pour informer les clients sur les avantages et les fonctionnalités de sécurité des passkeys. Une communication claire sur le fonctionnement des passkeys et leur rôle dans la protection contre les attaques de phishing encouragera davantage de clients à adopter cette technologie.
5. Collaborer avec les régulateurs et les pairs de l'industrie : Les banques devraient collaborer activement avec les organismes de réglementation comme l'Autorité Monétaire de Singapour (MAS) et les pairs de l'industrie pour établir des directives normalisées pour la mise en œuvre des passkeys. Des efforts conjoints garantiront une approche cohérente et sécurisée dans l'ensemble du secteur bancaire, améliorant la sécurité globale des services bancaires numériques à Singapour.
6. Investir dans l'infrastructure et les systèmes de support : La mise en œuvre des passkeys nécessite une infrastructure et des systèmes de support robustes. Les banques devraient investir dans la technologie et les ressources nécessaires pour prendre en charge l'authentification par passkey, y compris des systèmes de gestion de clés sécurisés et l'intégration avec les cadres d'authentification existants. Assurer une expérience utilisateur fluide et sécurisée sera crucial pour une adoption généralisée.
7. Surveiller et s'adapter aux menaces émergentes : La surveillance régulière du paysage des menaces et la mise à jour des mesures de sécurité en conséquence aideront les banques à anticiper les risques potentiels. Les Passkeys, combinés à des améliorations de sécurité continues, fourniront une défense résiliente contre les nouvelles tactiques de phishing et de fraude.

En suivant ces recommandations, la sécurité de l'authentification dans le secteur bancaire de Singapour peut encore s'améliorer et trouver son intégration dans des cadres de conformité et des normes comme la Safe App Standard qui omet actuellement de mentionner les passkeys comme technologie d'authentification.

En résumé, l'annonce de l'Autorité Monétaire de Singapour (MAS) de supprimer progressivement les OTP par SMS et de passer aux jetons numériques marque une étape cruciale dans le renforcement de la sécurité des services bancaires numériques. Cette mesure répond à la menace croissante des arnaques par phishing, qui ont eu un impact significatif sur les consommateurs et le secteur bancaire.

• Pourquoi abandonner les OTP : La MAS donne la priorité à l'abandon des OTP en raison de leur vulnérabilité au phishing et à l'interception. Les escrocs ont exploité les vulnérabilités des OTP par SMS, ce qui a rendu nécessaire l'adoption de méthodes d'authentification plus sûres.
• Que sont les jetons numériques : Les jetons numériques offrent une sécurité renforcée en étant liés à un appareil et en utilisant de puissants algorithmes cryptographiques. Cela les rend plus résistants aux attaques de phishing que les OTP traditionnels. Ils offrent également une plus grande commodité et réduisent la surface d'attaque en éliminant le besoin de codes d'authentification par SMS ou e-mail.
• Les Passkeys peuvent-ils aider le secteur bancaire de Singapour : Les Passkeys apparaissent comme une alternative supérieure, offrant une authentification robuste et résistante au phishing. En utilisant la cryptographie à clé publique-privée, les passkeys garantissent que l'authentification ne peut avoir lieu que sur des sites légitimes, ce qui atténue considérablement les risques de phishing. Leur prise en charge multi-appareils et la sécurité renforcée des appareils renforcent encore leur attrait.

En explorant les avantages des jetons numériques, nous avons noté leurs limites à éliminer complètement les risques de phishing. Les Passkeys, en revanche, fournissent une solution complète, en accord avec les meilleures pratiques internationales en matière de sécurité numérique. Bien que la transition vers les jetons numériques soit un pas en avant, l'objectif ultime devrait être d'adopter les passkeys comme la future norme pour l'authentification bancaire numérique.