le Administration de la sécurité sociale des États-Unis a annoncé la semaine dernière qu’il exigera désormais un numéro de téléphone portable de tous les Américains qui souhaitent gérer leurs prestations de retraite à ssa.gov. Malheureusement, la nouvelle mesure de sécurité fait peu pour empêcher les voleurs d’identité de créer des comptes en ligne pour siphonner les avantages des Américains qui n’ont pas encore créé de comptes pour eux-mêmes.
La SSA a déclaré que tous les titulaires de compte « my Social Security », nouveaux et existants, devront fournir un numéro de téléphone portable. L’agence a déclaré qu’elle utiliserait les numéros de téléphone portable pour envoyer aux utilisateurs un code à 8 chiffres par SMS qui doit être saisi avec un nom d’utilisateur et un mot de passe pour se connecter au site.
La SSA a noté qu’elle procédait à la modification pour se conformer à un décret ordonnant aux agences fédérales de fournir une authentification plus sécurisée pour leurs services en ligne.
« Les gens ne pourront pas accéder à leur compte personnel my Social Security s’ils n’ont pas de téléphone portable ou ne souhaitent pas fournir le numéro de téléphone portable », a déclaré l’agence. « Le but de fournir votre numéro de téléphone portable est que, chaque fois que vous vous connecterez à votre compte avec votre nom d’utilisateur et votre mot de passe, nous vous enverrons un code de sécurité à usage unique que vous devrez également saisir pour vous connecter avec succès à votre compte. Nous prévoyons de proposer des options supplémentaires à l’avenir, en fonction des exigences des directives nationales en cours de révision. »
Bien que le changement de politique de la SSA fournisse une preuve supplémentaire que la personne qui se connecte est la même personne qui a établi l’authentification multifacteur en premier lieu, il ne semble pas fournir de preuve supplémentaire que la personne créer un compte sur ssa.gov est ce qu’ils prétendent être.
La SSA offre d’autres options de « sécurité supplémentaire », telles que l’envoi aux utilisateurs d’un code spécial via US Mail qui doit être saisi sur le site de l’agence pour terminer le processus d’inscription. Si vous choisissez d’activer une sécurité supplémentaire, la SSA vous demandera alors :
- Les huit derniers chiffres de votre carte de crédit Visa, MasterCard ou Discover ;
- Informations de votre formulaire fiscal W2 ;
- Informations provenant d’un formulaire fiscal 1040 Schedule SE (travail indépendant); ou
- Le montant de votre dépôt direct, si vous percevez des prestations de sécurité sociale.
Malheureusement, il est encore relativement facile pour les voleurs de créer un compte au nom d’Américains qui n’en ont pas encore créé un pour eux-mêmes. Tout ce dont on aurait besoin est le nom, la date de naissance, le numéro de sécurité sociale, l’adresse résidentielle et le numéro de téléphone de la cible. Ces données personnelles peuvent être achetées pour environ 3 à 4 dollars dans une variété de boutiques de cybercriminalité en ligne.
Après cela, le SSA relaie quatre questions à devinettes multiples, dites « authentification basée sur la connaissance » ou questions KBA du bureau de crédit. Équifax. En pratique, bon nombre de ces questions KBA – telles que l’adresse précédente, les montants et les dates des prêts – peuvent être énumérées avec succès avec des devinettes aléatoires. De plus, très souvent, les réponses à ces questions peuvent être trouvées en consultant des services en ligne gratuits, tels que Zillow et Facebook.
En septembre 2013, j’ai averti que la SSA et les institutions financières suivaient une augmentation des cas où les voleurs d’identité enregistraient un compte sur le portail de la SSA en utilisant les informations personnelles d’un retraité et faisaient détourner les avantages de la victime vers des cartes de débit prépayées que les escrocs contrôlent. Malheureusement, parce que les nouvelles fonctionnalités de sécurité de la SSA sont facultatives, elles ne font pas grand-chose pour empêcher les escrocs de détourner les paiements de prestations SSA des retraités.
Parce qu’il est possible de créer un seul compte My Social Security par numéro de sécurité sociale, l’enregistrement d’un compte sur le portail est un moyen de base pour que les Américains puissent éviter d’être victimes de cette arnaque.
Pour récapituler : une fois que vous avez créé et vérifié votre compte et commencé à recevoir des codes textuels pour vous connecter, vous serez désormais plus en sécurité. Si vous ne vous êtes pas déjà inscrit, ces nouvelles options de sécurité ne rendent pas plus difficile pour quelqu’un d’autre de s’inscrire en votre nom.
Étant donné que de nombreuses personnes âgées se méfient encore des messages texte et n’en ont probablement jamais envoyé ou reçu, il n’est pas clair que ces mesures de sécurité facultatives passeront bien. J’aimerais que la SSA rende obligatoire la réception d’un code unique via le courrier américain pour finaliser la création de tous les nouveaux comptes, que les utilisateurs optent ou non pour une « sécurité supplémentaire ». Peut-être que l’agence l’exigera à l’avenir, mais je trouve perplexe pourquoi elle ne le fait pas déjà par défaut.
En plus des mesures de sécurité facultatives de la SSA, les Américains peuvent bloquer davantage les voleurs d’identité en plaçant un gel de sécurité sur leurs dossiers de crédit auprès des principaux bureaux de crédit. Les lecteurs qui ont suivi mes conseils incessants pour geler leur crédit devront dégeler temporairement le gel afin de terminer le processus de création d’un compte sur ssa.gov. Sous un autre angle, le gel en place empêche les voleurs d’identité de créer frauduleusement un compte à votre nom et de détourner potentiellement vos prestations gouvernementales.
Alternativement, les citoyens peuvent bloquer l’accès en ligne à leur compte de sécurité sociale. Les instructions pour le faire sont ici.
Le nouveau système de messagerie textuelle de la SSA connaît actuellement certaines difficultés techniques, du moins pour Verizon wireless les clients. La SSA a publié ce message sur son site au cours du week-end : « Nous travaillons à résoudre un problème qui empêche les clients sans fil de Verizon de recevoir le code de sécurité du téléphone portable. Les clients sans fil de Verizon ne peuvent pas accéder à leurs données personnelles ma Sécurité sociale compte à ce moment-là.
Mise à jour, 13h00 HE : Pour mémoire, j’ai demandé des commentaires à la SSA sur les raisons pour lesquelles ils n’ont apparemment pas contacté tous les utilisateurs par courrier américain pour vérifier leur identité. J’ai reçu la réponse suivante :
« L’administration de la sécurité sociale protège les informations qui nous sont confiées et a renforcé le processus d’inscription en ligne en rendant la vérification d’identité et l’authentification plus strictes. Nous ne pouvons pas fournir plus de détails publiquement car nous ne voulons pas tracer une feuille de route pour les criminels. »
De plus, comme un lecteur l’a déjà souligné dans les commentaires ci-dessous, l’adoption par la SSA de l’authentification SMS à 2 facteurs intervient alors que Institut national des normes et de la technologie (NIST) a publié un projet de nouvelles directives d’authentification qui semblent être supprimer progressivement l’utilisation de l’authentification à deux facteurs par SMS.
Mise à jour, 11 août 2016 : Une source qui m’a aidé à tester certaines choses pour cette histoire en s’inscrivant sur le portail de la SSA a déclaré avoir reçu une lettre par courrier postal l’autre jour l’informant que quelqu’un avait ouvert un compte en son nom en ligne. Ainsi, la SSA envoie des lettres si vous vous inscrivez en ligne, mais elle ne profite pas de cette occasion pour fournir un code spécial pour terminer l’inscription en toute sécurité. Allez comprendre.
