---
url: 'https://www.corbado.com/fr/blog/singapour-passkeys-banques'
title: 'Banques de Singapour et Passkeys : le remplacement des OTP par SMS'
description: 'Découvrez pourquoi les banques de Singapour doivent abandonner les OTP au profit de jetons numériques plus sûrs, et pourquoi les passkeys représentent une meilleure alternative pour la sécurité bancaire.'
lang: 'fr'
author: 'Vincent Delitz'
date: '2025-07-15T13:17:56.685Z'
lastModified: '2026-03-25T10:46:36.285Z'
keywords: 'passkeys singapour, sécurité banques singapour'
category: 'Passkeys Strategy'
---

# Banques de Singapour et Passkeys : le remplacement des OTP par SMS

## 1. Introduction

L'**Autorité Monétaire de Singapour (MAS)** a
[annoncé](https://www.mas.gov.sg/news/media-releases/2024/banks-in-singapore-to-strengthen-resilience-against-phishing-scams)
que toutes les grandes banques de détail du pays doivent progressivement abandonner les
OTP pour les remplacer par des « jetons numériques » dans les trois prochains mois. Cette
mesure, en collaboration avec l'**Association des Banques de Singapour (ABS)**, vise à
protéger les consommateurs contre le [phishing](https://www.corbado.com/glossary/phishing) (hameçonnage) et
d'autres arnaques qui ont [co](https://www.corbado.com/fr/blog/conformite-cybersecurite)ûté plus de 14 millions
de dollars en 2023. Dans cet article de blog, nous allons aborder les points suivants :

- **Abandon des OTP :** Pourquoi la MAS donne-t-elle la priorité à l'abandon des OTP ?
- **Jetons numériques :** Que sont les jetons numériques et pourquoi sont-ils plus sûrs ?
- **Passkeys :** Les passkeys pourraient-ils aider à satisfaire les nouvelles exigences ?

Commençons par examiner de plus près l'annonce de l'**Autorité Monétaire de Singapour
(MAS)** : «
[Les banques de Singapour vont renforcer leur résilience face aux arnaques par phishing](https://www.mas.gov.sg/news/media-releases/2024/banks-in-singapore-to-strengthen-resilience-against-phishing-scams)
».

## 2. Annonce de l'Autorité Monétaire de Singapour (MAS) sur les arnaques par phishing et les jetons numériques

Le 9 juillet 2024, l'Autorité Monétaire de Singapour (MAS) et l'Association des Banques de
Singapour (ABS) ont annoncé une étape importante pour renforcer la sécurité des services
[bancaires](https://www.corbado.com/passkeys-for-banking) numériques en abandonnant progressivement l'utilisation
des codes à usage unique (OTP). Cette transition, pré[vue](https://www.corbado.com/blog/vuejs-passkeys) sur les
trois prochains mois, vise à mieux protéger les consommateurs contre les arnaques par
[phishing](https://www.corbado.com/glossary/phishing), qui sont devenues la principale menace pour les services
[bancaires](https://www.corbado.com/passkeys-for-banking) numériques. **Bien que l'annonce ne mentionne que les «
mots de passe à usage unique » et les OTP, elle cible spécifiquement les OTP par SMS**.

Les clients qui ont activé leurs jetons numériques sur leurs appareils mobiles devront
désormais les utiliser pour se connecter à leurs comptes bancaires via un navigateur ou
une application [bancaire](https://www.corbado.com/passkeys-for-banking) mobile. Le jeton numérique authentifiera
les connexions des clients sans avoir besoin d'OTP, que les escrocs peuvent voler ou
obtenir en trompant les clients. Nous expliquerons plus en détail ce que sont les jetons
numériques dans le chapitre suivant.

Les avancées technologiques et les techniques de [phishing](https://www.corbado.com/glossary/phishing)
sophistiquées ont dépassé la sécurité qu'offraient autrefois les OTP par SMS. Les escrocs
créent désormais de faux sites web bancaires qui ressemblent beaucoup aux sites
authentiques, incitant les clients à saisir leurs OTP et autres identifiants. Le passage à
des facteurs d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe)
résistants au phishing renforce la sécurité, rendant beaucoup plus difficile pour les
escrocs d'obtenir un accès non autorisé au compte d'un client.

Les arnaques par phishing restent une préoccupation constante à Singapour. Les banques
continuent de collaborer étroitement avec la MAS et la police de Singapour pour développer
et introduire des mesures qui renforcent la résistance collective face à l'évolution du
paysage des arnaques. Mme Ong-Ang Ai Boon, directrice de l'ABS, a souligné que bien que la
nouvelle mesure puisse entraîner quelques désagréments, c'est une étape nécessaire pour
prévenir les arnaques et protéger les clients.

Mme Loo Siew Yee, directrice générale adjointe (Politique,
[Paiements](https://www.corbado.com/passkeys-for-payment) et Criminalité financière) à la MAS, a souligné que la
MAS s'engage à travailler en étroite collaboration avec les banques pour protéger les
consommateurs contre les arnaques bancaires numériques. Elle a noté que cette dernière
mesure complétera les bonnes pratiques d'hygiène numérique que les clients doivent
continuer à suivre, comme la protection de leurs identifiants bancaires.

Cette mesure de la MAS et de l'ABS montre leur engagement à améliorer la sécurité des
services bancaires numériques en imposant l'utilisation de jetons numériques. Ce qui
manque à l'annonce, c'est une description claire des exigences pour les jetons numériques
en matière d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe).
Examinons cela de plus près dans la section suivante.

## 3. Que sont les jetons numériques et pourquoi sont-ils plus sûrs ?

Les jetons numériques représentent une avancée en matière de sécurité en ligne, offrant
une alternative plus robuste aux traditionnels codes à usage unique (OTP) par SMS.
Contrairement aux OTP par SMS, qui sont transmis par SMS (ou e-mail) et peuvent être
interceptés ou hameçonnés, les jetons numériques sont liés à un appareil spécifique,
généralement un téléphone mobile, garantissant que seul le propriétaire de l'appareil peut
générer les codes
d'[authentification](https://www.corbado.com/fr/blog/comment-passer-totalement-sans-mot-de-passe) nécessaires.

### 3.1 Fonctionnement des jetons numériques

Les jetons numériques peuvent fonctionner de différentes manières :

- **Jeton numérique basé sur le temps (moins sécurisé)** : Ces jetons sont des codes
  dynamiques basés sur le temps, utilisés pour authentifier l'identité d'un utilisateur.
  Ils sont produits par une [application native](https://www.corbado.com/fr/blog/applications-natives-passkeys)
  sur l'appareil mobile de l'utilisateur, comme l'application propriétaire d'une banque.
  Dans la plupart des implémentations, le code réel n'est plus affiché ; seule une
  notification push demande à l'utilisateur de consentir à la transaction avec ses
  détails, puis est retransmise au serveur de la banque.
- **Jeton numérique cryptographique (plus sécurisé)** : Un jeton numérique cryptographique
  représente une méthode d'authentification encore plus sûre que les jetons basés sur le
  temps. Il utilise une paire de clés publique-privée stockée dans l'application ou dans
  l'enclave sécurisée du téléphone mobile. Pendant le processus d'authentification, le
  serveur de la banque envoie un défi à l'appareil de l'utilisateur. L'appareil utilise
  alors sa clé privée pour signer ce défi, et la réponse signée est renvoyée au serveur.
  Le serveur vérifie la signature à l'aide de la clé publique correspondante. Cette
  méthode garantit que même si un attaquant intercepte la communication, il ne peut pas
  répliquer le processus d'authentification sans accès à la clé privée de l'utilisateur,
  qui reste stockée en toute sécurité sur l'appareil.

### 3.2 Fonctionnalités de sécurité améliorées des jetons numériques

La sécurité des jetons numériques est renforcée grâce à plusieurs fonctionnalités clés :

1. **Liaison à l'appareil** : Le jeton est lié à un appareil spécifique, ce qui signifie
   que les codes d'authentification ne peuvent être générés que par cet appareil. Cette
   liaison à l'appareil rend extrêmement difficile pour les attaquants de répliquer ou de
   transférer le jeton sur un autre appareil.
2. **Configuration multifacteur** : La configuration initiale du jeton numérique implique
   souvent l'utilisation d'OTP envoyés par SMS et e-mail pour vérifier l'identité de
   l'utilisateur, en plus du code PIN bancaire (certaines banques retirent également les
   jetons physiques avec cette approche. Le jeton OTP physique peut alors être utilisé).
   Une fois le jeton activé, il devient la principale méthode d'authentification,
   éliminant le besoin de futurs OTP et leurs vulnérabilités associées. Par exemple, la
   banque DBS utilise une combinaison d'OTP par SMS et par e-mail lors de la configuration
   initiale du jeton numérique, après quoi l'authentification continue repose uniquement
   sur le jeton.
3. **Protection cryptographique ou basée sur le temps** : Les jetons numériques emploient
   de puissants algorithmes cryptographiques ou des algorithmes basés sur le temps
   ([TOTP](https://www.csa.gov.sg/alerts-advisories/Advisories/2023/ad-2023-006)) pour
   générer les codes d'authentification, garantissant que même si la communication entre
   l'appareil et le serveur d'authentification est interceptée, les codes ne peuvent pas
   être facilement déchiffrés ou falsifiés.

### 3.3 Étude de cas : la mise en œuvre par la banque DBS

La banque DBS, une institution financière majeure à Singapour, a
[mis en œuvre](https://www.dbs.com.sg/personal/support/bank-ibanking-digital-token-setup.html)
avec succès les jetons numériques pour renforcer la sécurité de ses clients. La banque
demande :

- **Ce que l'utilisateur sait :** le code PIN
- **Ce que l'utilisateur possède :** un OTP par SMS (accès au téléphone associé au numéro)
- **Ce que l'utilisateur possède :** un OTP par e-mail (accès à l'e-mail associé au
  compte)

pour configurer le jeton numérique sur l'appareil mobile d'un client. Une fois configuré,
le jeton numérique devient la seule méthode pour authentifier les connexions et les
transactions, atténuant efficacement le risque d'attaques de phishing qui ciblent les OTP.

![dbs bank digital token](https://www.corbado.com/website-assets/dbs_bank_digital_token_647d6b3705.png)

Si l'adresse e-mail connectée n'est pas à jour et qu'un jeton physique n'est pas
disponible, l'utilisateur peut configurer le jeton numérique avec des options de secours :

![singpass](https://www.corbado.com/website-assets/singpass_095c2516f5.png)

Les options de secours incluent l'[identité numérique](https://www.corbado.com/fr/glossary/openid-4-vp) avec
Singpass, l'utilisation d'un guichet automatique vidéo (VTM) dans une agence proche du
client, ou la demande d'un code d'enregistrement à recevoir par courrier physique sous 3 à
5 jours.

### 3.4 Avantages des jetons numériques par rapport aux OTP

Le passage des OTP aux jetons numériques résout plusieurs vulnérabilités associées aux
méthodes d'authentification traditionnelles :

- **Résistance partielle au phishing** : Comme les jetons numériques sont générés et
  utilisés directement sur l'appareil de l'utilisateur, il n'y a aucun risque
  d'interception par phishing. Même si un escroc parvient à tromper un utilisateur pour
  qu'il fournisse ses identifiants de connexion, il ne peut pas générer le code
  d'authentification nécessaire sans un accès physique à l'appareil.
- **Surface d'attaque réduite** : En éliminant le besoin de SMS et d'e-mails comme canaux
  de transmission pour les codes d'authentification, les jetons numériques réduisent la
  surface d'attaque que les escrocs peuvent exploiter.
- **Confort d'utilisation** : Bien que la configuration initiale puisse nécessiter des
  étapes supplémentaires, l'utilisation continue des jetons numériques est fluide et
  pratique pour les utilisateurs. Ils n'ont plus besoin d'attendre qu'un OTP arrive par
  SMS ou e-mail, ce qui peut parfois être retardé ou bloqué.

### 3.5 Une solution incomplète contre le phishing

Bien que la protection contre le phishing soit partiellement améliorée, le nouveau risque
est que les clients deviennent victimes
d'[attaques par fatigue MFA](https://www.proofpoint.com/us/blog/information-protection/preventing-mfa-fatigue-attacks).
En étant continuellement habitués aux demandes d'authentification par jeton numérique, un
attaquant pourrait en profiter pour envoyer une telle demande depuis une page de phishing.

![digital token request](https://www.corbado.com/website-assets/digital_token_request_8e0f4a5134.png)

C'est la raison pour laquelle les grandes entreprises technologiques (par exemple, Google
et Microsoft) qui ont subi de nombreuses violations ont commencé à introduire des défis
dans ces notifications push, par exemple en demandant de choisir le bon numéro pour
protéger les clients.

![microsoft push challenge](https://www.corbado.com/website-assets/microsoft_push_challenge_74dda10c71.png)

Les jetons numériques offrent une méthode d'authentification plus sûre dans le paysage
bancaire numérique, mais n'éliminent pas complètement le risque de phishing. Un attaquant
pourrait toujours tromper la victime pour qu'elle authentifie son accès en la convainquant
de confirmer les demandes de jeton numérique. Ce que la mise en œuvre de la banque DBS a
montré, c'est qu'il est possible d'enrôler facilement les clients dans une autre forme
d'authentification en utilisant une combinaison de facteurs existants. La question est
alors : pourquoi la MAS et la banque DBS n'introduisent-elles pas les passkeys ? Examinons
cela.

## 4. Les Passkeys pour le secteur bancaire à Singapour

Comme nous l'avons vu, les jetons numériques représentent un pas en avant pour sécuriser
les transactions bancaires numériques par rapport aux OTP par SMS traditionnels.
Cependant, bien que les jetons numériques offrent des fonctionnalités de sécurité
améliorées, ils ne sont pas complètement résistants au phishing. Un attaquant pourrait
toujours tromper une victime pour qu'elle authentifie une demande frauduleuse en la
convainquant de confirmer les invites du jeton numérique. Cette vulnérabilité persistante
suggère que les jetons numériques, bien qu'étant une amélioration, ne constituent pas une
avancée assez audacieuse pour sécuriser les services bancaires en ligne.

### 4.1 Les Passkeys sont plus sûrs que les jetons numériques

Les Passkeys offrent une méthode d'authentification véritablement résistante au phishing.
Contrairement aux jetons numériques, les passkeys sont intrinsèquement résistants aux
attaques de phishing car ils ne peuvent être utilisés que sur le site web ou l'application
correcte. Cela garantit que les utilisateurs ne peuvent pas être trompés pour saisir leurs
identifiants sur un site frauduleux. Les Passkeys reposent sur la cryptographie à clé
publique-privée, où la clé privée est stockée en toute sécurité sur l'appareil de
l'utilisateur et chiffrée de manière sécurisée dans le cloud du système d'exploitation
associé. La clé publique est partagée avec le service d'authentification.

Voici comment les passkeys améliorent la sécurité :

1. **Résistance au phishing** : Les Passkeys éliminent le risque de saisir des
   informations d'authentification sur de faux sites web. Comme le processus
   d'authentification ne peut se dérouler que sur le site légitime qui a émis le défi, les
   tentatives de phishing sont rendues inefficaces. Il est techniquement impossible
   d'utiliser un passkey sur la mauvaise page et il est également impossible pour un
   consommateur moyen d'exporter un passkey vers une partie tierce.
2. **Prise en charge multi-appareils** : Contrairement aux jetons numériques, qui sont
   souvent liés à un seul appareil, les passkeys peuvent être synchronisés de manière
   sécurisée entre les appareils authentifiés au sein du même cloud ou gestionnaire de
   mots de passe. Cela offre flexibilité et commodité aux utilisateurs qui accèdent à
   leurs services bancaires depuis divers appareils.
3. **Sécurité renforcée de l'appareil** : Les Passkeys exigent que
   l'[authentification à deux facteurs (2FA)](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
   soit activée dans les écosystèmes de téléphonie mobile (comme
   [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) ou
   [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)). Cette couche de sécurité
   supplémentaire garantit que même si un appareil est compromis, l'attaquant devrait
   contourner la [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) de l'appareil pour accéder aux
   passkeys. Nous avons déjà détaillé ces aspects en expliquant les détails de la
   SCA/[PSD2](https://www.corbado.com/blog/psd2-passkeys) sur les passkeys et expliqué pourquoi les passkeys
   synchronisés peuvent être utilisés pour les services bancaires.

### 4.2 L'argument en faveur des Passkeys : l'Australie comme modèle

L'Australie a reconnu l'importance de l'authentification résistante au phishing dans sa
norme Essential Eight, qui définit les meilleures pratiques en matière de cybersécurité.
La norme mentionne spécifiquement la nécessité d'exigences techniques qui atténuent les
risques de phishing, positionnant l'Australie comme un leader en cybersécurité dans la
région Asie-Pacifique. Singapour, avec son infrastructure numérique avancée, devrait
suivre l'exemple de l'Australie en intégrant les passkeys dans ses normes et
recommandations pour les entreprises. Cela renforcerait non seulement la sécurité, mais
alignerait également Singapour sur les meilleures pratiques mondiales en matière de
sécurité numérique.

### 4.3 Un appel à une action réglementaire

Le secteur bancaire attend des directives réglementaires claires qui autoriseraient
explicitement l'utilisation de passkeys synchronisés dans les services bancaires. Une
telle mesure donnerait aux banques la confiance nécessaire pour adopter cette technologie
de pointe et offrir à leurs clients une méthode d'authentification véritablement sûre et
pratique. L'Autorité Monétaire de Singapour (MAS) a l'opportunité d'établir une nouvelle
norme en matière de [sécurité bancaire](https://www.corbado.com/fr/blog/passkeys-revolut) numérique en approuvant
l'utilisation des passkeys. Ce faisant, la MAS signalerait son engagement à être pionnière
dans les mesures de sécurité de pointe, garantissant que Singapour reste à l'avant-garde
de l'innovation bancaire numérique.

## 5. Recommandations pour les banques de Singapour

Convertir les utilisateurs vers des jetons numériques plus sûrs est une étape importante
pour améliorer la sécurité des services bancaires en ligne à Singapour. Cependant, pour
l'avenir, il est essentiel que les banques commencent à adopter les passkeys, qui
deviendront la norme de facto pour l'authentification web. Voici quelques recommandations
clés pour que les banques de Singapour pérennisent leur infrastructure de sécurité :

1. **Commencer à collecter les Passkeys tôt :** Tout en passant aux jetons numériques, les
   banques devraient également commencer le processus de collecte des passkeys auprès des
   utilisateurs. Cette approche proactive préparera les banques à une transition en
   douceur une fois que les passkeys seront largement acceptés et adoptés. En intégrant la
   collecte de passkeys dans les processus d'intégration et d'authentification actuels,
   les banques peuvent progressivement constituer une base de données sécurisée de
   passkeys.
2. **Remplacer les codes PIN par des Passkeys :** Une étape pratique et immédiate vers
   l'adoption des passkeys est de remplacer les codes PIN traditionnels par des passkeys.
   Les Passkeys offrent une alternative plus sûre et plus pratique aux codes PIN, en
   s'appuyant sur la cryptographie à clé publique-privée. En mettant en œuvre les passkeys
   comme principale méthode d'authentification, les banques peuvent améliorer la sécurité
   tout en offrant une expérience utilisateur plus fluide.
3. **Utiliser les Passkeys comme premier facteur ou mesure de risque supplémentaire :**
   Les Passkeys peuvent être utilisés comme premier facteur d'authentification ou comme
   mesure de risque supplémentaire dans les configurations d'authentification multifacteur
   (MFA). L'intégration des passkeys dans le processus d'authentification fournira une
   couche de sécurité supplémentaire, rendant beaucoup plus difficile pour les attaquants
   de compromettre les comptes des utilisateurs. Les banques peuvent commencer par
   proposer les passkeys comme une fonctionnalité de sécurité optionnelle et en faire
   progressivement un élément standard du processus d'authentification.
4. **Éduquer les clients sur les Passkeys :** La mise en œuvre réussie des passkeys
   nécessite la sensibilisation et l'acceptation des clients. Les banques devraient
   investir dans des campagnes éducatives pour informer les clients sur les avantages et
   les fonctionnalités de sécurité des passkeys. Une communication claire sur le
   fonctionnement des passkeys et leur rôle dans la protection contre les attaques de
   phishing encouragera davantage de clients à adopter cette technologie.
5. **Collaborer avec les régulateurs et les pairs de l'industrie :** Les banques devraient
   collaborer activement avec les organismes de réglementation comme l'Autorité Monétaire
   de Singapour (MAS) et les pairs de l'industrie pour établir des directives normalisées
   pour la mise en œuvre des passkeys. Des efforts conjoints garantiront une approche
   cohérente et sécurisée dans l'ensemble du secteur bancaire, améliorant la sécurité
   globale des services bancaires numériques à Singapour.
6. **Investir dans l'infrastructure et les systèmes de support :** La mise en œuvre des
   passkeys nécessite une infrastructure et des systèmes de support robustes. Les banques
   devraient investir dans la technologie et les ressources nécessaires pour prendre en
   charge l'authentification par passkey, y compris des systèmes de gestion de clés
   sécurisés et l'intégration avec les cadres d'authentification existants. Assurer une
   expérience utilisateur fluide et sécurisée sera crucial pour une adoption généralisée.
7. **Surveiller et s'adapter aux menaces émergentes :** La surveillance régulière du
   paysage des menaces et la mise à jour des mesures de sécurité en conséquence aideront
   les banques à anticiper les risques potentiels. Les Passkeys, combinés à des
   améliorations de sécurité continues, fourniront une défense résiliente contre les
   nouvelles tactiques de phishing et de fraude.

En suivant ces recommandations, la sécurité de l'authentification dans le secteur bancaire
de Singapour peut encore s'améliorer et trouver son intégration dans des cadres de
conformité et des normes comme la
[Safe App Standard](https://www.csa.gov.sg/Tips-Resource/publications/2024/safe-app-standard)
qui omet actuellement de mentionner les passkeys comme technologie d'authentification.

## 6. Conclusion

En résumé, l'annonce de l'Autorité Monétaire de Singapour (MAS) de supprimer
progressivement les OTP par SMS et de passer aux jetons numériques marque une étape
cruciale dans le renforcement de la sécurité des services bancaires numériques. Cette
mesure répond à la menace croissante des arnaques par phishing, qui ont eu un impact
significatif sur les consommateurs et le secteur bancaire.

- **Pourquoi abandonner les OTP :** La MAS donne la priorité à l'abandon des OTP en raison
  de leur vulnérabilité au phishing et à l'interception. Les escrocs ont
  [exploit](https://www.corbado.com/glossary/exploit)é les vulnérabilités des OTP par SMS, ce qui a rendu
  nécessaire l'adoption de méthodes d'authentification plus sûres.
- **Que sont les jetons numériques** : Les jetons numériques offrent une sécurité
  renforcée en étant liés à un appareil et en utilisant de puissants algorithmes
  cryptographiques. Cela les rend plus résistants aux attaques de phishing que les OTP
  traditionnels. Ils offrent également une plus grande commodité et réduisent la surface
  d'attaque en éliminant le besoin de codes
  d'[authentification par SMS](https://www.corbado.com/fr/blog/couts-authentification-sms-entreprises) ou e-mail.
- **Les Passkeys peuvent-ils aider le secteur bancaire de Singapour** : Les Passkeys
  apparaissent comme une alternative supérieure, offrant une authentification robuste et
  résistante au phishing. En utilisant la cryptographie à clé publique-privée, les
  passkeys garantissent que l'authentification ne peut avoir lieu que sur des sites
  légitimes, ce qui atténue considérablement les risques de phishing. Leur prise en charge
  multi-appareils et la sécurité renforcée des appareils renforcent encore leur attrait.

En explorant les avantages des jetons numériques, nous avons noté leurs limites à éliminer
complètement les risques de phishing. Les Passkeys, en revanche, fournissent une solution
complète, en accord avec les meilleures pratiques internationales en matière de sécurité
numérique. Bien que la transition vers les jetons numériques soit un pas en avant,
l'objectif ultime devrait être d'adopter les passkeys comme la future norme pour
l'authentification bancaire numérique.