L'utilisation de la biométrie pour prévenir l'utilisation abusive de la carte SIM pourrait introduire des problèmes plus importants

Table des matières:

L'utilisation de la biométrie pour prévenir l'utilisation abusive de la carte SIM pourrait introduire des problèmes plus importants
L'utilisation de la biométrie pour prévenir l'utilisation abusive de la carte SIM pourrait introduire des problèmes plus importants
Anonim

Clé à emporter

  • Les attaques par échange de cartes SIM, qui reposent sur des cartes SIM en double émises frauduleusement, coûteront aux citoyens américains plus de 68 millions de dollars en 2021.
  • L'Afrique du Sud prévoit d'associer les données biométriques au propriétaire d'une carte SIM afin de s'assurer qu'une carte SIM en double ne peut être délivrée qu'au propriétaire légitime.
  • Les experts en cybersécurité pensent que l'utilisation de la biométrie introduira de plus grands risques pour la vie privée, et la vraie solution se trouve ailleurs.
Image
Image

L'utilisation de la biométrie pour résoudre un problème de sécurité n'aidera peut-être pas à éradiquer le problème, mais cela ne manquera pas d'introduire de plus graves problèmes de confidentialité, suggèrent les experts en cybersécurité.

L'Afrique du Sud a proposé de collecter des informations biométriques auprès des personnes lors de l'achat de cartes SIM afin de contrecarrer les attaques par échange de cartes SIM. Dans ces attaques, les escrocs demandent des cartes SIM de remplacement qu'ils utilisent pour intercepter les mots de passe à usage unique légitimes (OTP) et autoriser les transactions. Selon le FBI, ces transactions frauduleuses ont totalisé plus de 68 millions de dollars en 2021. Cependant, les implications de la proposition de l'Afrique du Sud sur la vie privée ne plaisent pas aux experts.

"Je sympathise avec les fournisseurs qui cherchent un moyen de mettre fin au problème très réel de l'échange de cartes SIM", a déclaré Tim Helming, évangéliste de la sécurité chez DomainTools, à Lifewire par e-mail. "Mais je ne suis pas convaincu que [la collecte d'informations biométriques] soit la bonne réponse."

Mauvaise approche

Pour expliquer les dangers des attaques par échange de carte SIM, Stephanie Benoit-Kurtz, experte en cybersécurité à l'Université de Phoenix, a déclaré qu'une carte SIM piratée pourrait permettre à de mauvais acteurs de s'introduire dans pratiquement tous vos comptes numériques, des e-mails aux services bancaires en ligne.

Le défi lié à la collecte de données biométriques ne réside pas seulement dans le processus de collecte, mais également dans la sécurisation de ces informations une fois qu'elles ont été collectées.

Armés d'une carte SIM piratée, les pirates peuvent envoyer des requêtes "Mot de passe oublié" ou "Récupération de compte" à n'importe lequel de vos comptes en ligne associés à votre numéro de mobile, et réinitialiser les mots de passe, piratant essentiellement vos comptes.

L'Autorité indépendante des communications d'Afrique du Sud (ICASA) espère maintenant utiliser la biométrie pour rendre plus difficile pour les pirates de mettre la main sur une carte SIM en double en exigeant des données biométriques pour vérifier l'identité de la personne demandant la carte SIM en double.

"Bien que l'échange de carte SIM soit indéniablement un problème majeur, cela pourrait être un cas où le remède est pire que le mal", a souligné Helming.

Il a expliqué qu'une fois que les données biométriques sont entre les mains des fournisseurs de services, il existe un risque réel qu'une violation puisse mettre les données biométriques entre les mains d'attaquants, qui pourraient alors en abuser de diverses manières très problématiques.

"Le défi autour de la collecte de données biométriques ne réside pas seulement dans le processus de collecte, mais aussi dans la sécurisation de ces informations une fois qu'elles ont été collectées", a convenu Benoit-Kurtz.

Elle pense que la biométrie seule ne résout pas le problème. En effet, les acteurs malveillants utilisent diverses méthodes pour obtenir des cartes SIM en double, et les faire émettre directement par le fournisseur de services n'est pas la seule option à leur disposition. En fait, selon Benoit-Kurtz, il existe un marché noir dynamique pour obtenir des doublons de cartes SIM actives.

Aboyer le mauvais arbre

Benoit-Kurtz pense que les opérateurs et les fabricants de téléphones doivent jouer un rôle plus actif dans la sécurisation de l'écosystème mobile.

"Il existe des défis importants associés à la sécurité des téléphones et des cartes SIM qui pourraient être résolus par les opérateurs mettant en place des contrôles plus stricts concernant le moment et l'endroit où une carte SIM peut être changée", a suggéré Benoit-Kurtz.

Elle dit que l'industrie doit travailler ensemble pour introduire des mécanismes pour empêcher les transactions sans compter sur plusieurs étapes pour valider l'utilisateur et le téléphone sur lequel la nouvelle carte SIM est enregistrée.

Image
Image

Par exemple, elle dit que certains opérateurs comme Verizon ont commencé à utiliser des codes PIN de transfert à six chiffres, qui sont nécessaires avant qu'une carte SIM puisse être déplacée. Mais ce n'est qu'un point de données de plus dans la transaction, et les escrocs peuvent étendre leurs astuces d'ingénierie sociale pour recueillir également ces informations supplémentaires.

Jusqu'à ce que l'industrie s'intensifie, il appartient aux gens d'être avisés et de se protéger contre les attaques par échange de carte SIM. Une astuce qu'elle suggère est d'activer l'authentification multifacteur pour vos comptes en ligne tout en veillant à ce que l'un des mécanismes d'authentification envoie le code de vérification à un compte de messagerie qui n'est pas connecté à votre téléphone.

Elle suggère également d'utiliser un code PIN SIM, un code à plusieurs chiffres que vous saisissez à chaque redémarrage de votre téléphone. "Assurez-vous d'utiliser les fonctions de sécurité intégrées de votre téléphone pour le verrouiller afin de réduire les risques et de protéger votre carte SIM de manière proactive."

Conseillé: