L'Autorité monétaire de Singapour (MAS) a annoncé une nouvelle exigence concernant toutes les principales banques de détail du pays visant à éliminer progressivement l'utilisation de mots de passe à usage unique (OTP) au cours des trois prochains mois.

Cette initiative a été convenue entre le gouvernement et l’Association des banques de Singapour (abdos) pour protéger les consommateurs contre le phishing et autres escroqueries.

« L'utilisation de l'OTP a été introduite dans les années 2000 comme une option d'authentification multifacteur pour renforcer la sécurité en ligne », lit l'annonce du MAS.

« Cependant, les progrès technologiques et les tactiques d'ingénierie sociale plus sophistiquées ont depuis permis aux escrocs de récupérer plus facilement les OTP des clients, par exemple en créant de faux sites Web bancaires qui ressemblent beaucoup aux sites Web authentiques. »

En plus des sites de phishing, les OTP sont la cible de logiciels malveillants Android depuis de nombreuses années, aidant leurs opérateurs à contourner les protections d'authentification à deux facteurs sur les comptes cibles.

Cela a incité Google à prendre des mesures plus agressives contre l'abus des autorisations « RECEIVE_SMS », « READ_SMS » et « BIND_Notifications » cette année, Singapour étant parmi les premiers pays à recevoir les nouvelles protections.

De plus, les OTP peuvent être interceptés par des attaques de type « man-in-the-middle » et, s’ils sont basés sur des SMS, ils peuvent être interceptés par des acteurs malveillants qui mènent des attaques d’échange de carte SIM.

Les clients des banques de Singapour utiliseront désormais des jetons numériques au lieu des OTP, qu'ils devront activer sur leurs appareils mobiles.

Selon l'ABS, les jetons numériques sont déjà activé à 60% à 90% des clients des trois principales banques du pays : DBS, OCBC et UOB.

« Le jeton numérique authentifiera la connexion des clients sans avoir besoin d'un OTP que les escrocs peuvent voler ou inciter les clients à divulguer », explique MAS.

Ceux qui n’ont pas activé leurs jetons numériques sont fortement encouragés à le faire bientôt pour bénéficier d’une meilleure sécurité contre les acteurs du phishing et les escrocs.

Les clients qui n'activent pas les jetons numériques continueront de recevoir des OTP comme auparavant, mais ils devraient constituer une minorité de plus en plus réduite.