le Commission fédérale des communications des États-Unis (FCC) demande des commentaires sur les nouvelles règles proposées pour réprimer l’échange de cartes SIM et la fraude par port de numéro, des escroqueries de plus en plus répandues dans lesquelles les voleurs d’identité détournent le numéro de téléphone portable d’une cible et l’utilisent pour prendre le contrôle de l’identité en ligne de la victime.
Dans un délai long avis émis le 30 septembrela FCC a déclaré qu’elle prévoyait d’agir rapidement pour exiger des entreprises de téléphonie mobile qu’elles adoptent des méthodes plus sécurisées d’authentification des clients avant de rediriger leur numéro de téléphone vers un nouvel appareil ou un nouvel opérateur.
« Nous avons reçu de nombreuses plaintes de consommateurs qui ont subi une détresse, des désagréments et des préjudices financiers importants à la suite d’un échange de carte SIM et d’une fraude au transfert », a écrit la FCC. « En raison des graves préjudices associés à la fraude par échange de carte SIM, nous pensons qu’une mise en œuvre rapide est appropriée. »
La FCC a déclaré que la proposition était en réponse à un flot de plaintes auprès de l’agence et de la Commission fédérale du commerce des États-Unis (FTC) concernant l’échange frauduleux de cartes SIM et la fraude au transfert de numéro. L’échange de carte SIM se produit lorsque les fraudeurs trompent ou soudoient un employé d’un magasin de téléphonie mobile pour qu’il transfère le contrôle du numéro de téléphone d’une cible à un appareil qu’ils contrôlent.
À partir de là, les attaquants peuvent réinitialiser le mot de passe de presque tous les comptes en ligne liés à ce numéro de mobile, car la plupart des services en ligne permettent toujours aux utilisateurs de réinitialiser leur mot de passe simplement en cliquant sur un lien envoyé par SMS au numéro de téléphone enregistré.
Les escrocs commettent une fraude par transfert de numéro en se faisant passer pour la cible et en demandant que leur numéro soit transféré vers un autre fournisseur de téléphonie mobile (et vers un appareil contrôlé par les attaquants).
La FCC a déclaré que les opérateurs ont traditionnellement cherché à lutter contre les deux formes de fraude par numéro de téléphone en exigeant des données statiques sur le client qui ne sont plus secrètes et qui ont déjà été exposées à divers endroits, comme la date de naissance et le numéro de sécurité sociale. À titre d’exemple, la commission a souligné la récente brèche chez T-Mobile qui a exposé ces données sur 40 millions de clients actuels, passés et potentiels.
De plus, les victimes d’échange de carte SIM et de fraude par transfert de numéro sont souvent les dernières à être informées de leur victimisation. La FCC a déclaré qu’elle prévoyait d’interdire aux opérateurs de téléphonie mobile d’autoriser un échange de carte SIM à moins que l’opérateur n’utilise une méthode sécurisée pour authentifier son client. Plus précisément, la commission propose que les transporteurs soient tenus de vérifier un « mot de passe préétabli » avec les clients avant d’apporter des modifications à leurs comptes.
Selon la FCC, plusieurs exemples de mots de passe préétablis incluent :
-un code secret à usage unique envoyé par SMS au numéro de téléphone du compte ou à un numéro de secours préenregistré
-un code secret à usage unique envoyé par e-mail à l’adresse e-mail associée au compte
-un code d’accès envoyé par appel vocal au numéro de téléphone du compte ou au numéro de téléphone de secours préenregistré.
La commission a déclaré qu’elle envisageait également de mettre à jour ses règles pour obliger les opérateurs de téléphonie mobile à développer des procédures pour répondre aux tentatives d’authentification infructueuses et à informer immédiatement les clients de toute demande de changement de carte SIM.
De plus, la FCC a déclaré qu’elle pourrait imposer des exigences supplémentaires en matière de service client, de formation et de transparence aux opérateurs, notant que trop de personnel du service client des opérateurs de téléphonie mobile manque de formation sur la manière d’aider les clients dont les numéros de téléphone ont été volés.
La FCC a déclaré que certaines des plaintes des consommateurs qu’elle a reçues « décrire des représentants du service client des opérateurs de téléphonie mobile et des employés des magasins qui ne savent pas comment traiter les cas d’échanges ou de transferts de carte SIM frauduleux, ce qui oblige les clients à passer de nombreuses heures au téléphone et au détail magasins essayant d’obtenir une résolution. D’autres consommateurs se plaignent que leurs opérateurs de téléphonie mobile ont refusé de leur fournir des documents liés aux échanges frauduleux de cartes SIM, ce qui rend difficile pour eux de poursuivre leurs réclamations auprès de leurs institutions financières ou des forces de l’ordre.
« Plusieurs plaintes de consommateurs déposées auprès de la Commission allèguent que les employés du magasin de l’opérateur de téléphonie mobile sont impliqués dans la fraude, ou que les opérateurs ont effectué des échanges de carte SIM alors que le client avait précédemment défini un code PIN ou un mot de passe sur le compte », a poursuivi la commission.
Allison Nixon, experte en matière d’attaques par échange de carte SIM, directrice de la recherche au sein d’une société de cyber-renseignement basée à New York Unité221B, a déclaré que toute nouvelle exigence d’authentification devra équilibrer les cas d’utilisation légitimes pour les clients demandant une nouvelle carte SIM lorsque leur appareil est perdu ou volé. Une carte SIM est la petite carte à puce amovible qui associe un appareil mobile à son opérateur et à son numéro de téléphone.
« En fin de compte, toute sorte de défense statique ne fonctionnera qu’à court terme », a déclaré Nixon. « L’utilisation des SMS comme 2ème facteur en soi est une défense statique. Et les criminels se sont adaptés et ont rendu le problème pire que le problème initial qu’il était censé résoudre. La solution à long terme est que le système doit être réactif aux nouveaux stratagèmes de fraude et s’y adapter plus rapidement que la vitesse de la législation.
Désireux de peser sur la proposition de la FCC? Ils veulent entendre parler de vous. Le système de classement électronique des commentaires est iciet le numéro de dossier pour cette procédure est WC Docket No. 21-341.