Orange, Free, SFR et Bouygues Telecom ont rejoint le GSMA Open Gateway, une initiative lancée par la GSMA (l’association qui représente les intérêts des opérateurs mobiles à travers le monde). Cette initiative vise à standardiser l’accès aux services de réseaux télécoms via des API ouvertes. Elles doivent permettre à des développeurs ou des entreprises de se connecter facilement à des services fournis par les opérateurs.
Dans le cadre de cette initiative, les quatre opérateurs français ont mis au point deux outils destinés à lutter contre la fraude en ligne et le vol d’identité. Destinées à la France, ces deux interfaces de programmation d’application (APIs) doivent empêcher les cybercriminels d’orchestrer des attaques qui usurpent l’identité d’un utilisateur en exploitant des informations liées à leur numéro de téléphone ou à leur compte mobile, comme les arnaques à la carte SIM. Elles ont été mises au point avec plusieurs institutions financières, dont BforBank et Fortuneo.
À lire aussi : Arnaque à l’eSIM inactive – des hackers vident le compte bancaire des morts
Deux API pour lutter contre les arnaques et les fraudes
Pour couper l’herbe sous le pied des hackers, Orange, Free, SFR et Bouygues Telecom vont proposer aux développeurs une API intitulée KYC Match. Comme son nom l’indique, l’API permet aux entreprises d’améliorer leur processus de KYC (Know Your Customer). Principalement utilisé dans les secteurs financiers et bancaires, le KYC sert à vérifier l’identité des internautes. Son objectif principal est de prévenir les activités illégales comme le blanchiment d’argent, la fraude ou le financement du terrorisme. Un formulaire KYC est obligatoire pour de nombreuses entités financières, comme les plateformes de cryptomonnaies qui veulent recevoir l’approbation de l’Autorité des marchés financiers.
Concrètement, les développeurs vont pouvoir « vérifier les informations fournies par les clients avec les dossiers » détenus par les opérateurs. Les télécoms s’appuient sur les données personnelles qu’ils détiennent sur leurs abonnés, comme le numéro de téléphone mobile, le nom, le code postal, l’adresse, la date de naissance et l’adresse e-mail. Le communiqué précise qu’aucune information personnellement identifiable n’est partagée. Cette interface de programmation doit endiguer le vol d’identité.
Les télécoms vont aussi lancer SIM Swap, une API censée lutter contre les escroqueries à la carte SIM. La fraude consiste à déplacer votre numéro de téléphone sur une autre carte SIM, permettant ainsi au cybercriminel de recevoir et d’envoyer des SMS en se faisant passer pour vous. Elle repose sur des données personnelles compromises, détenues par les cybercriminels à la suite de fuites.
Pour combattre ce fléau, qui touche aussi l’eSIM, l’API va permettre de vérifier si un numéro de téléphone a récemment été associé à une nouvelle carte SIM. Lorsqu’un client effectue une transaction, l’institution peut analyser la relation entre le numéro de téléphone et la carte SIM. Si un changement récent est détecté, cela peut indiquer qu’un criminel est à l’œuvre. Le développeur peut alors choisir de bloquer le transfert ou de demander une confirmation supplémentaire avant d’autoriser la transaction.
Les API reposent sur la nouvelle norme CAMARA, visant à standardiser les API ouvertes pour les réseaux télécoms. En établissant des normes communes aux télécoms, CAMARA permet d’accélérer le déploiement de nouveaux outils, dont ces API taillées pour lutter contre la fraude.
Lancement l’année prochaine
La mise à disposition de ces deux API est prévue dans le courant premier semestre 2025. Elles ont été rigoureusement testées sur le marché français. Comme l’explique Orange, « nos APIs d’identité ont déjà été déployées par de nombreuses banques et fournisseurs de services financiers en France pour aider à lutter contre la fraude ».
Orange, Free, SFR et Bouygues envisagent également de mettre en ligne un troisième outil, intitulé Vérification de numéro. Il permet de vérifier le numéro de téléphone d’un client « de manière transparente et automatique », sans passer par l’envoi d’un code par SMS. Le communiqué reste flou, mais évoque « la prochaine génération d’authentification forte ». Il pourrait s’agir d’une forme d’application d’authentification, comme Google Authenticator.
« L’initiative bénéficie aux entreprises, aux opérateurs mobiles et à leurs clients, économisant du temps, de l’argent et des efforts aux développeurs », fait valoir Henry Calvert, le directeur des réseaux à la GSMA.
Cette initiative intervient dans un contexte dans lequel les Français sont devenus la cible privilégiée des pirates. Au cours des derniers mois, les cybercriminels ont recueilli une foule de données personnelles sur les internautes qui vivent en France. Forts d’informations sensibles, ils peuvent orchestrer de redoutables offensives, dont des arnaques à la livraison de colis.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Orange
