La Federal Communications Commission (FCC) des États-Unis adopte de nouvelles règles visant à protéger les consommateurs contre les escroqueries liées aux comptes de téléphones portables qui permettent à des acteurs malveillants d’orchestrer des attaques par échange de carte SIM et des fraudes de port-out.
« Ces règles contribueront à protéger les consommateurs contre les fraudeurs qui ciblent les données et les informations personnelles en échangeant secrètement des cartes SIM vers un nouvel appareil ou en transférant des numéros de téléphone vers un nouvel opérateur sans jamais prendre le contrôle physique du téléphone d’un consommateur », a déclaré la FCC cette semaine.
Alors que l’échange de carte SIM fait référence au transfert du compte d’un utilisateur vers une carte SIM contrôlée par l’escroc en convainquant l’opérateur de téléphonie mobile de la victime, la fraude par port-out se produit lorsque l’acteur malveillant, se faisant passer pour la victime, transfère son numéro de téléphone d’un fournisseur de services à un autre sans leurs connaissances.
Les nouvelles règles, proposées pour la première fois en juillet 2023, obligent les fournisseurs de services sans fil à adopter des méthodes sécurisées d’authentification d’un client avant de rediriger le numéro de téléphone d’un client vers un nouvel appareil ou fournisseur.
Une autre exigence garantit que les clients sont immédiatement informés chaque fois qu’un changement de carte SIM ou une demande de portage est effectué sur leurs comptes afin qu’ils puissent prendre les mesures appropriées pour se protéger contre de telles attaques.
L’échange de cartes SIM est devenu une menace sérieuse, permettant à des acteurs malveillants comme LAPSUS$ et Scattered Spider d’infiltrer les réseaux d’entreprise. La migration du service vers un appareil contrôlé par un acteur donne aux attaquants la possibilité de détourner les codes d’authentification à deux facteurs par SMS et de prendre le contrôle des comptes en ligne des victimes.
« Comme nous utilisons très fréquemment nos numéros de téléphone pour l’authentification à deux facteurs, un mauvais acteur qui prend le contrôle d’un téléphone peut également prendre le contrôle de comptes financiers, de comptes de réseaux sociaux, et la liste est longue », a déclaré le commissaire de la FCC, Geoffrey Starks.
« Les consommateurs doivent pouvoir compter sur des procédures de vérification sécurisées et des garanties fiables de confidentialité de la part de leurs fournisseurs de services sans fil. Et ils devraient pouvoir vaquer à leurs occupations sans craindre que quelqu’un, quelque part, puisse prendre le contrôle de leur téléphone sans un seul signe d’avertissement. »
Cette évolution intervient alors que la FCC a annoncé qu’elle lançait également une enquête pour comprendre l’impact de l’intelligence artificielle (IA) sur les appels automatisés et les robots.
« L’IA pourrait améliorer les outils d’analyse utilisés pour bloquer les appels et les SMS indésirables et restaurer la confiance dans nos réseaux », a déclaré l’agence. « Mais l’IA pourrait également permettre à des acteurs malveillants de frauder plus facilement les consommateurs par le biais d’appels et de messages texte, par exemple en utilisant la technologie pour imiter les voix d’agents publics ou d’autres sources fiables. »
