[ad_1]

Les quatre principaux opérateurs de téléphonie mobile américains ont détaillé aujourd’hui une nouvelle initiative qui pourrait bientôt permettre aux sites Web d’éviter les mots de passe et d’authentifier les visiteurs en exploitant des éléments de données uniques au compte d’abonné mobile et téléphonique de chaque client, tels que l’emplacement, la réputation du client et les attributs physiques de l’appareil. . Voici un aperçu de ce qui s’en vient et des compromis potentiels en matière de sécurité et de confidentialité en faisant confiance aux opérateurs pour gérer l’authentification en ligne en votre nom.

Provisoirement surnommé « Vérification du projet » et toujours en phase de test bêta privé, la nouvelle initiative d’authentification est présentée comme un moyen de donner aux consommateurs à la fois une méthode plus simple de prouver son identité lors de la création d’un nouveau compte sur un site Web donné, ainsi que le remplacement des mots de passe et un -codes horaires pour la connexion aux comptes existants sur les sites participants.

Voici une vidéo promotionnelle et explicative sur Project Verify produite par le Groupe de travail sur l’authentification mobiledont les membres comprennent AT&T, Sprint, T Mobile et Verizon:

Les entreprises de téléphonie mobile affirment que Project Verify peut améliorer l’authentification en ligne car elles seules ont accès à plusieurs signaux et capacités uniques qui peuvent être utilisés pour valider chaque client et son ou ses appareils mobiles. Cela inclut la connaissance de l’emplacement approximatif en temps réel du client ; depuis combien de temps est-il client et utilise-t-il l’appareil en question ; et des informations sur les composants à l’intérieur du téléphone du client qui ne sont accessibles qu’aux opérateurs eux-mêmes, telles que les signatures cryptographiques liées à l’appareil carte SIM.

Le groupe de travail travaille actuellement à la construction de son application Project Verify dans le logiciel qui est préchargé sur les appareils mobiles vendus par les quatre principaux opérateurs. L’idée de base est que les sites Web tiers pourraient laisser l’application (et, par extension, le fournisseur de téléphonie mobile de l’utilisateur) gérer le processus d’authentification de l’identité de l’utilisateur, auquel cas l’application connecterait l’utilisateur de manière interactive sans avoir besoin d’un nom d’utilisateur et mot de passe.

Dans un autre exemple, les sites participants pourraient utiliser Project Verify pour compléter ou remplacer les processus d’authentification existants, tels que les méthodes à deux facteurs qui reposent actuellement sur l’envoi à l’utilisateur d’un code d’accès unique par SMS/messages texte, qui peuvent être interceptés par des cybercriminels.

Les transporteurs présentent également leur offre comme un moyen pour les consommateurs de pré-remplir des champs de données sur un site Web – tels que le nom, l’adresse, le numéro de carte de crédit et d’autres informations généralement saisies lorsqu’une personne souhaite s’inscrire pour un nouveau compte d’utilisateur sur un site Web. Site Web ou faire des achats en ligne.

Johannes Jaskolskidirecteur général du groupe de travail sur l’authentification mobile et vice-président adjoint de la sécurité des identités chez AT&T, a déclaré que le groupe parie que Project Verify sera attrayant pour les détaillants en ligne, en partie parce qu’il peut les aider à capturer plus d’inscriptions et de ventes d’utilisateurs qui pourraient autrement rechignent à devoir fournir manuellement beaucoup de données via un appareil mobile.

« Nous pouvons être un authentificateur principal où, simplement en vous authentifiant auprès de notre application, vous pouvez ensuite utiliser ce service », a déclaré Jaskolski. « Cela peut être sur votre mobile, mais cela peut aussi être sur un autre appareil. Avec le consentement de l’abonné, nous pouvons remplir ces informations et faciliter l’inscription ou la connexion aux services en ligne. Sur d’autres marchés, nous avons trouvé ce type d’approche réduit [customer] taux de retombées, de sorte que les entreprises tierces réussissent mieux à capturer cela. »

Jaskolski a déclaré que les clients qui profitent de Project Verify pourront choisir quels types de données seront partagés entre leur fournisseur de services sans fil et un site Web sur une base par site, ou choisir de partager certains éléments de données à tous les niveaux avec des sites qui exploitent le application pour l’authentification et le commerce électronique.

« De nombreuses entreprises s’appuient déjà sur l’appareil mobile aujourd’hui dans leurs flux d’authentification client, mais ce que nous disons, c’est qu’il y aura une meilleure façon de le faire dans une méthode qui est destinée dès le départ à servir les cas d’utilisation de l’authentification », Jaskolski mentionné. « C’est ce que tout le monde attend déjà de nous en cooptant d’autres fonctionnalités mobiles qui n’ont tout simplement jamais été conçues pour l’authentification. »

« UN BILAN DÉGRADÉ »

Une question clé concernant l’adoption de cette initiative naissante sera de savoir dans quelle mesure les consommateurs accordent de la confiance aux entreprises de téléphonie mobile, qui ont lutté puissamment au cours des dernières années pour valider que leurs propres clients sont bien ceux qu’ils prétendent être.

Les quatre principaux fournisseurs de téléphonie mobile luttent actuellement pour protéger les clients contre les escroqueries conçues pour prendre le contrôle du numéro de téléphone mobile d’une cible. Dans un scénario de plus en plus courant, les attaquants se font passer pour le client par téléphone ou dans les magasins de détail mobiles dans le but de faire transférer le numéro de la cible vers un appareil qu’ils contrôlent. Lorsqu’elles réussissent, ces attaques – connues sous le nom d’échanges de cartes SIM et d’escroqueries par port de numéro de mobile – permettent aux voleurs d’intercepter les codes d’authentification à usage unique envoyés à l’appareil mobile d’un client via un SMS ou un appel téléphonique automatisé.

Nicolas Tisserandchercheur au Institut international d’informatique et maître de conférences à UC Berkeleya déclaré que cette nouvelle solution pourrait faire des téléphones portables et de leurs numéros associés une cible encore plus attrayante pour les cyber-voleurs.

Weaver a déclaré qu’après avoir été victime d’une attaque par échange de carte SIM il y a quelques années, il a été époustouflé lorsqu’il a appris à quel point il était simple pour les voleurs de se faire passer pour son opérateur de téléphonie mobile.

« L’échange de cartes SIM est très présent dans l’actualité, mais c’est un gros problème depuis au moins la dernière demi-décennie », a-t-il déclaré. « Dans mon cas, quelqu’un est entré dans un magasin Verizon, a repris le compte et s’est ajouté en tant qu’utilisateur autorisé sous son nom – pas même sous mon nom – et a dit au magasin qu’il avait besoin d’un téléphone de remplacement parce qu’il était en panne. Il m’a fallu trois jours pour reprendre le contrôle du compte d’une manière telle que la personne n’a pas pu me le reprendre.

Weaver a déclaré que Project Verify pourrait devenir un moyen extrêmement utile pour les sites Web d’intégrer de nouveaux utilisateurs. Mais il a dit qu’il était sceptique quant à l’idée que la solution serait une grande amélioration pour l’authentification multifacteur sur les sites Web tiers.

« Les transporteurs ont un bilan lamentable en matière d’authentification de l’utilisateur », a-t-il déclaré. « Si les transporteurs étaient dignes de confiance, je pense que ce serait sans équivoque une bonne idée. Le problème, c’est que je ne fais pas confiance aux transporteurs.

Cela n’aide probablement pas que tous les opérateurs participant à cet effort aient récemment été surpris en train de vendre les données de localisation en temps réel des appareils mobiles de leurs clients à une foule de sociétés tierces qui n’ont absolument pas réussi à sécuriser l’accès en ligne à ces données sensibles. .

Le 10 mai, Le New York Times a annoncé la nouvelle qu’une société de localisation de téléphones portables a appelé Securus Technologies avait vendu ou donné des données de localisation sur les clients de pratiquement tous les principaux fournisseurs de réseaux mobiles aux forces de police locales à travers les États-Unis.

Quelques semaines après le scoop du NYT, BreachTrace a dévoilé l’histoire selon laquelle LocationSmart – un agrégateur de données sans fil – a hébergé une page de démonstration publique sur son site Web qui permettrait à quiconque de consulter les données de localisation en temps réel sur pratiquement n’importe quel abonné mobile américain.

En réponse, toutes les grandes entreprises de téléphonie mobile ont déclaré avoir résilié les accords de partage de données de localisation avec LocationSmart et plusieurs autres entreprises qui achetaient les informations. Les opérateurs ont chacun insisté sur le fait qu’ils ne partageaient ces données qu’avec le consentement du client, même s’il est rapidement apparu que les géants du mobile comptaient plutôt sur ces agrégateurs de données pour obtenir le consentement du client avant de partager ces données de localisation avec des tiers, une sorte de relation de confiance transitive qui apparaît avoir été complètement défectueux dès le départ.

Jaskolski d’AT&T a déclaré que les géants de la téléphonie mobile prévoyaient d’utiliser leur nouvelle solution pour protéger davantage les clients contre les échanges de cartes SIM.

« Nous prévoyons de l’utiliser comme contrôle préventif supplémentaire », a déclaré Jaskolski. « Par exemple, ce n’est pas parce que vous échangez une nouvelle carte SIM que le profil d’authentification mobile que nous avons créé est également porté. Dans ce cas, le portage de votre carte SIM ne portera pas nécessairement votre profil d’authentification mobile.

Jaskolski a souligné que Project Verify ne chercherait pas à centraliser les données des abonnés dans une nouvelle base de données inter-opérateurs géante.

« Nous n’allons pas agréger et centraliser ces données d’abonnés, qui resteront chez chaque opérateur séparément », a-t-il déclaré. « Et c’est vraiment une solution pro-concurrence, car elle sera portable de par sa conception et n’est pas conçue pour garder un abonné collé à un opérateur spécifique. Plus important encore, l’utilisateur contrôlera tout ce qui sera partagé avec des tiers. »

Mon avis ? Les transporteurs peuvent faire ce qu’ils veulent sur la sécurité et la fiabilité de cette nouvelle offre, mais il est difficile d’évaluer la sincérité et l’exactitude de ces affirmations jusqu’à ce que le programme soit largement disponible pour les tests bêta et l’utilisation, ce qui est actuellement prévu pour quelque temps en 2019. .

Je ne suis pas susceptible de jamais prendre les transporteurs sur cette offre. En fait, j’ai travaillé dur ces derniers temps pour déconnecter ma vie numérique de ces fournisseurs de téléphonie mobile. Et je ne suis pas sur le point de donner plus d’informations que nécessaire au-delà du strict minimum nécessaire pour avoir un service sans fil.

Comme pour la plupart des choses liées à la cybersécurité et à l’identité en ligne, beaucoup dépendra des paramètres par défaut que les opérateurs décident d’intégrer à leurs applications, et plus important encore des paramètres par défaut des applications de sites Web tiers conçues pour interagir avec Project Verify.

Jaskolski a déclaré que la coalition espère lancer le programme l’année prochaine en collaboration avec certaines grandes plateformes de commerce électronique en ligne qui ont manifesté leur intérêt pour l’initiative, bien qu’il ait refusé de parler de détails à ce sujet. Il a ajouté que les fournisseurs de téléphonie mobile travaillaient actuellement sur ce à quoi pourraient ressembler ces valeurs par défaut, mais a également reconnu que certaines de ces plates-formes avaient exprimé leur intérêt à forcer les utilisateurs à refuser de partager des éléments de données d’abonné spécifiques.

« Les utilisateurs pourront voir exactement quels attributs seront partagés, et ils pourront dire oui ou non à ceux-ci », a-t-il déclaré. « Dans certains cas, le [third-party site] peux dire voici certaines choses dont j’ai absolument besoin, et voici certaines choses que nous aimerions avoir. Ce sont certaines des choses sur lesquelles nous travaillons actuellement.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *