Selon une agence américaine, l’utilisation du SMS pour sécuriser les opérations sensibles, notamment les paiements en ligne par carte bancaire, est dangereuse pour les usagers, à cause des risques d’interception du code à usage unique envoyé.
C’est presque devenu la norme : au moment de valider un paiement en ligne par carte bancaire, votre banque vous envoie un SMS contenant un code à usage unique. Objectif : s’assurer que c’est bien vous, son titulaire, qui êtes en possession de la carte en question, et pas un usurpateur.
Las, cette méthode, qu’on appelle 3D Secure, est loin d’être infaillible. Dans une récente publication relayée par Le Monde, Le NIST, institut national américain des normes et de la technologie, estime même que l’authentification en deux étapes par SMS (également utilisée par les services mail, cloud et les réseaux sociaux) est potentiellement dangereuse pour les usagers.
L’institut pointe en effet le risque de détournement de ce code reçu par SMS. Certains logiciels malveillants, implantés dans les téléphones, sont capables de rediriger les SMS reçus, à l’insu de l’usager. Des pirates s’attaquent également aux logiciels utilisés pour recevoir ces SMS. Conclusion : le NIST préconise de maintenir la double authentification, mais d'envoyer les codes dans des applications sécurisées.
BNP Paribas en pointe en France
En France, cette vulnérabilité du code SMS a été pointée récemment par le médiateur de la FBF et par l’Observatoire de la sécurité des cartes de paiements. Ce dernier, qui émane de la Banque de France, a notamment demandé aux opérateurs téléphoniques de mieux sécuriser la réédition de cartes SIM et aux banques de travailler sur des alternatives.
BNP Paribas, et sa marque de banque en ligne Hello bank, a déjà pris conscience du problème et propose la clé digitale, un service gratuit permettant de sécuriser des opérations sensibles (l’ajout de bénéficiaires de virements, notamment) sans utiliser le SMS.
Lire aussi : Le code SMS, point faible de la sécurité des paiements en ligne
