L’Autorité monétaire de Singapour (MAS) a annoncé une nouvelle exigence imposant à toutes les grandes banques de détail du pays d’éliminer progressivement l’utilisation de mots de passe à usage unique (OTP) au cours des trois prochains mois.
Cette initiative a été convenue entre le gouvernement et l’Association des banques de Singapour (ABS) pour protéger les consommateurs contre le phishing et d’autres escroqueries.
« L’utilisation d’OTP a été introduite dans les années 2000 en tant qu’option d’authentification multifacteur pour renforcer la sécurité en ligne », lit-on dans l’annonce du MAS.
« Cependant, les développements technologiques et les tactiques d’ingénierie sociale plus sophistiquées ont depuis permis aux escrocs de hameçonner plus facilement les OTP des clients, par exemple en créant de faux sites Web bancaires qui ressemblent étroitement aux véritables sites Web. »
En plus des sites de phishing, les OTP sont la cible de logiciels malveillants Android depuis de nombreuses années, aidant leurs opérateurs à contourner les protections d’authentification à deux facteurs sur les comptes cibles.
Cela a incité Google à prendre des mesures plus agressives contre l’abus des autorisations « RECEIVE_SMS », « READ_SMS » et « BIND_Notifications » cette année, Singapour étant parmi les premiers pays à bénéficier des nouvelles protections.
De plus, les OTP peuvent être interceptés par des attaques de l’homme du milieu, et s’ils sont basés sur des SMS, ils peuvent être interceptés par des acteurs de la menace qui mènent des attaques par échange de SIM.
Les clients des banques singapouriennes utiliseront désormais des jetons numériques au lieu des OTP, qu’ils devront activer sur leurs appareils mobiles.
Selon ABS, les jetons numériques sont déjà activés pour 60% à 90% des clients des trois principales banques du pays: DBS, OCBC et UOB.
« Le jeton numérique authentifiera la connexion des clients sans avoir besoin d’un OTP que les escrocs peuvent voler ou inciter les clients à divulguer », explique MAS.
Ceux qui n’ont pas activé leurs jetons numériques sont fortement encouragés à le faire rapidement pour bénéficier d’une meilleure sécurité contre les acteurs du phishing et les escrocs.
Les clients qui n’activent pas de jetons numériques continueront de recevoir des OTP comme auparavant, mais ceux-ci devraient constituer une minorité de plus en plus réduite.