L’authentification silencieuse sans SMS : la nouvelle arme anti-fraude de Sumeria

Face à la hausse constante de la fraude par SMS – ou « smishing » – (+ 40% en 2023, avec près de 40% des Français touchés, selon un rapport de l’entreprise Kaspersky), Sumeria innove une fois de plus pour sécuriser ses parcours clients en lançant l’authentification silencieuse, une solution inédite qui remplace l’envoi de codes d’authentification par SMS. On vous explique comment ça marche et en quoi cela change tout.

Le SMS, un moyen d’authentification de plus en plus risqué

La plupart des sites web et applications utilisent la vérification à deux facteurs pour assurer la sécurité de leurs clients et le SMS est l’un des principaux canaux de communication pour cela. Ainsi, lors d’une authentification, le message est envoyé sur le numéro de téléphone de l’utilisateur et ce dernier est invité à interagir avec le SMS ou à saisir un code à usage unique pour vérifier son identité. Simple, rapide… mais pas forcément la solution la plus sécurisée.

Car le SMS est tellement entré dans nos habitudes de communication, il est tellement utilisé pour différents usages (aussi bien envoyer une photo de vacances que pour valider son accès à son compte bancaire, par exemple) que l’on a fini par le penser totalement sécurisé et donc inoffensif. Erreur : sa versatilité et sa prédominance en ont fait l’un des canaux préférés des fraudeurs pour commettre leurs méfaits. 

La ruse est bien rodée : un ou plusieurs SMS sont envoyés en se faisant passer pour une institution de confiance (banque, assurance, impôts…) afin de mener les clients distraits vers des sites « miroirs » toujours plus ressemblants aux vrais sites officiels. De là, les fraudeurs peuvent capter les informations de connexion qui les intéressent (code client, mot de passe…) et passer à la seconde étape de la fraude : la récupération du deuxième facteur d’authentification, c’est-à-dire le code envoyé par SMS. 

Pour cela, ils appellent leurs cibles, souvent en prétextant une situation d’urgence (un cas de fraude, par exemple). Puis, via un scénario bien ficelé, les fraudeurs poussent leurs victimes à leur communiquer le code qu’ils leur envoient par SMS pour finaliser les démarches de sécurisation de leur compte. En réalité, ce code est la dernière étape de leur prise de possession du compte afin de le vider ou de l’utiliser à des fins frauduleuses (parfois les deux) et le piège se referme.

Autre cas : des personnes attirées par une promesse de gains rapides sur les réseaux sociaux – et ignorant bien souvent leur responsabilité légale dans le partage d’un compte en ligne – acceptent de partager, à la demande des fraudeurs, leurs comptes pour diverses malversations, en échange d’une compensation financière. C’est ce qu’on appelle le phénomène de « mules » (ou money mulling), c’est évidemment illégal et le meilleur moyen de se retrouver avec son compte vidé et les autorités sur le dos. 

Des fraudes qui, finalement, pourraient être plus facilement évitées si une technologie plus moderne que le sms était utilisée par les acteurs du secteur. Alors, que faire ?

L’innovation au coeur de la protection de nos clients

Heureusement, une nouvelle méthode d’authentification, beaucoup plus sécurisée, existe déjà. C’est ce que Lydia Solutions, dans ses applications Sumeria et Lydia, a mis en œuvre depuis le mois d’octobre grâce à une technologie Vonage, en partenariat avec les opérateurs de téléphonie. C’est l’authentification silencieuse. Voilà en quoi elle consiste :

• Lorsqu’un client crée un compte et arrive à l’étape de vérification du numéro de téléphone, notre système appelle le service de notre partenaire concentrant les requêtes auprès des opérateurs téléphoniques ;
  
• Les opérateurs téléphoniques vérifient un certain nombre d’informations, sans que le client n’ait aucune action à réaliser, pour s’assurer de la cohérence des informations de connexion ;
  
• Nous recevons cette validation de la part de notre partenaire qui nous permet de déterminer de manière certaine la possession de l’appareil.
  

Pour résumer : tout se fait de notre côté, de manière indolore et sécurisée. Fini les SMS envoyés mais non ouverts par nos clients et les risques de fraudes via ce canal : si vous recevez un SMS de la part de Sumeria ou de Lydia vous demandant de vous authentifier ou de communiquer un code, c’est une tentative d’arnaque et vous pouvez effacer le SMS sans inquiétude.

Quelques mois à peine après avoir été les premiers à introduire la fonctionnalité d’appel certifié (la notification dans l’app qui vous assure que vous êtes bien en ligne avec les équipes de Sumeria), nous continuons d’innover pour nos clients et de prouver que la lutte contre la fraude est au cœur de notre promesse d’une banque mobile pour tous.