Bouygues Telecom, Free, Orange et SFR s'associent contre la fraude en ligne et les arnaques téléphoniques
Orange, Free, Bouygues Telecom et SFR s'unissent contre la fraude et les vols d'identité en rejoignant le GSMA Open Gateway. Les opérateurs ont développé deux outils permettant de lutter contre le SIM swapping et les arnaques numériques.
La France traverse une période extrêmement mouvementée en terme de cybersécurité. Le pays est devenu la cible privilégiée des pirates, qui ont durement frappé les entreprises françaises au cours des derniers mois. Boulanger, Truffaut, Picard, Cultura, Auchan, Molotov, Le Point, Mediboard, La Banque de France, Norauto... Même les opérateurs téléphoniques y ont eu droit ! Rien qu'en novembre dernier, Free était victime d'une nouvelle intrusion, qui a abouti au vol des données personnelles de millions d'abonnés, dont les IBAN, et SFR a vu les données personnelles de 3,6 millions d'abonnés dévoilées sur Telegram. Des fuites qui ne font qu'alimenter les bases de données déjà bien fournies sur le Dark Web. De quoi mener de redoutables offensives contre les internautes !
Les chiffres sont d'ailleurs assez parlants. Le nombre de cas de vol d'identité numérique a augmenté de 40 % au cours des quatre dernières années, selon les chiffres du ministère français de l'Intérieur. De même, 80 % des entreprises françaises déclarent avoir subi des tentatives de fraude en ligne, 45 % affirmant que la fraude en ligne a augmenté au cours des 12 derniers mois. Bref, le problème n'est pas à prendre à la légère !
Aussi, les quatre grands opérateurs mobiles de France – Bouygues Telecom, Free, Orange et SFR – ont annoncé dans un communiqué rejoindre le GSMA Open Gateway, une initiative lancée par l'association qui représente les intérêts des opérateurs mobiles à travers le monde. Leur but : fournir des API universelles pour leurs services afin d'aider les développeurs d'applications et les entreprises à lutter contre la fraude en ligne et à protéger les identités numériques des clients mobiles. Une façon de couper l'herbe sous le pied des pirates informatiques.
GSMA Open Gateway : des API pour lutter contre les fraudes en ligne
Nos quatre opérateurs ont ainsi développé deux interfaces de programmation d'application (API) pour les développeurs d'entreprise, conçue selon la nouvelle norme CAMARA, qui vise à harmoniser les spécifications entre les opérateurs mobiles. La première, baptisée KYC Match, permet aux entreprises de vérifier les informations fournies par leurs clients grâce à des dossiers vérifiés détenus par l'opérateur de réseau mobile de l'utilisateur, dans le cadre de leur processus KYC (Know Your Customer). Les télécoms s'appuient sur les données personnelles qu'ils détiennent sur leurs abonnés, comme le numéro de téléphone mobile, le nom, le code postal, l'adresse, la date de naissance et l'adresse e-mail. En revanche, aucune information personnellement identifiable n'est partagée dans le processus. Cela doit permettre de lutter contre les activités illégales telles que le blanchiment d'argent, la fraude, le vol d'identité ou le financement du terrorisme.
La seconde API se nomme SIM Swap et, comme son nom l'indique, vise à lutter contre les attaques au SIM swapping – "échange de SIM" en français. Cela consiste à déplacer le numéro de téléphone de la victime sur une autre carte SIM par le biais de techniques d'ingénierie sociale et des données personnelles compromises, afin que le cybercriminel puisse recevoir et envoyer des SMS en se faisant passer pour elle (voir notre article). Il ne lui reste alors plus qu'à s'en servir pour débloquer l'accès via la double authentification à certains services sensibles – comme l'application bancaire –, pour des achats à distance ou encore pour passer des appels surtaxés en direction de numéros qu'ils ont créés. L'API va permettre aux entreprises de vérifier si un numéro de téléphone donné a récemment changé de carte SIM, par exemple, au moment d'une transaction financière. Si un changement récent est détecté, l'entreprise peut alors choisir de bloquer le transfert ou de demander une confirmation supplémentaire avant d'autoriser la transaction.
GSMA Open Gateway : un lancement dès 2025
Les opérateurs français visent un lancement commercial de ces API au premier semestre 2025. Elles ont déjà été testées sur le marché français. Comme l'explique Orange, "nos API d'identité ont déjà été déployées par de nombreuses banques et fournisseurs de services financiers en France pour aider à lutter contre la fraude". Ils ont prévus de discuter de leurs plans de lancement avec la GSMA lors de la conférence des développeurs Apidays Paris 2024, qui se tient du 3 au 5 décembre, ainsi qu'au MWC de Barcelone en mars 2025.
Bouygues Telecom, Free, Orange et SFR envisage également d'inclure une troisième API, que certains fournissent déjà. Nommée Vérification de numéro, elle permet de vérifier le numéro de téléphone d'un client "de manière transparente et automatique" sans passer par l'envoi d'un code par SMS, en "fournissant la prochaine génération d'authentification forte et d'expérience utilisateur" – voilà qui est bien flou. Cela doit permettre d'éviter certains problèmes, tels que les utilisateurs ne recevant pas un SMS ou rencontrant des difficultés en raison d'une méconnaissance de la technologie. Voilà qui semble prometteur.