Les banques de Singapour vont progressivement supprimer les OTP pour prévenir la fraude en ligne
Dans le but d'améliorer la sécurité et de prévenir efficacement les activités frauduleuses, les grandes banques de Singapour éliminent progressivement la méthode d'authentification par mot de passe à usage unique (également connue sous le nom d'OTP - One Time Password) et passent à l'utilisation de jetons numériques.
Le développement technologique a entraîné une augmentation des fraudes, dont l'usurpation d'identité sur les sites web bancaires pour voler des codes OTP est l'une des techniques les plus dangereuses. Pour protéger les clients contre ces menaces, l'Autorité monétaire de Singapour (MAS) et l'Association des banques de Singapour (ABS) ont mis en place de nouvelles mesures d'authentification qui renforcent la sécurité et préviennent efficacement les activités frauduleuses.
Afin de renforcer la sécurité des informations, les principales banques de Singapour, dont DBS Bank, OCBC Bank et UOB, cesseront officiellement de prendre en charge les connexions par mot de passe à usage unique (OTP) en novembre. Tous les clients devront désormais utiliser des jetons numériques, une méthode d'authentification plus sûre et plus pratique.

Les clients d'autres banques utilisant des jetons physiques peuvent continuer à les utiliser normalement. Cependant, pour bénéficier d'un confort accru et d'une sécurité renforcée, les autorités recommandent d'adopter les jetons numériques.
Pour protéger les transactions en ligne, les applications bancaires envoient des notifications push demandant aux utilisateurs de confirmer chaque transaction. Il s'agit d'une couche de sécurité supplémentaire qui contribue à prévenir les activités frauduleuses.
Avec les jetons numériques, la protection des comptes devient plus sûre, car les fraudeurs ne peuvent pas effectuer de transactions à distance sans l'appareil de l'utilisateur.
Contrairement aux jetons numériques, les codes OTP sont vulnérables aux fraudeurs. Ces derniers peuvent voler les codes OTP des utilisateurs par des appels frauduleux, de faux messages ou l'installation de logiciels malveillants, réalisant ainsi des transactions non autorisées.
Qu'est-ce qu'un jeton numérique ?
Les jetons numériques sont utilisés pour authentifier les connexions et les transactions sur les applications bancaires mobiles et remplacent essentiellement les jetons physiques émis par les banques.
Les clients disposant de jetons numériques activés sur leurs appareils mobiles devront utiliser ces jetons pour se connecter à leurs comptes bancaires via un navigateur ou une application mobile.
Une fois le jeton numérique configuré, le client n'a plus besoin d'utiliser le jeton physique. Grâce au jeton numérique, l'utilisateur s'authentifiera uniquement via une invite générée par l'application, sur laquelle il devra appuyer pour valider la transaction.
Comment l’élimination des codes OTP rendra-t-elle les opérations bancaires plus sûres ?
Les codes OTP ont été introduits dans les années 2000 pour améliorer la sécurité en ligne, mais les tactiques d'ingénierie sociale et les avancées technologiques ont permis aux fraudeurs de voler plus facilement les codes OTP des clients via de faux sites Web bancaires.
Les victimes de cyberfraude sont souvent amenées à divulguer leurs identifiants de connexion, tels que leurs noms d'utilisateur, leurs mots de passe et leurs codes OTP. Ces codes sont souvent générés à l'aide de dispositifs de sécurité tels que des jetons matériels ou des applications mobiles pour garantir la sécurité des transactions. Cependant, lorsqu'elles tombent entre de mauvaises mains, ces informations peuvent être utilisées pour voler les biens de la victime.
La sécurité de l'envoi de codes OTP par SMS est très limitée. Les SMS peuvent facilement être partagés par erreur ou interceptés par des logiciels malveillants, permettant ainsi aux criminels d'en profiter pour effectuer des transactions non autorisées.
La suppression des codes OTP et leur remplacement par des notifications de transaction détaillées renforcent non seulement la sécurité des utilisateurs, mais leur offrent également un contrôle proactif sur leurs comptes. C'est pourquoi les autorités recommandent aux utilisateurs d'adopter les jetons numériques.
Est-il totalement sûr pour les utilisateurs d’utiliser des jetons numériques ?
Les sites d'hameçonnage exploitent souvent le manque de vigilance des utilisateurs en créant de fausses invites d'authentification. Si les utilisateurs ne font pas attention, ils peuvent approuver des transactions à leur insu, permettant ainsi aux fraudeurs de détourner des jetons numériques et d'effectuer des transactions illégales.
Grâce aux jetons numériques, l'authentification des transactions devient plus simple et plus sûre. Un simple clic suffit pour finaliser le processus d'authentification, tandis que les codes OTP nécessitent de nombreuses étapes manuelles et présentent de nombreux risques de sécurité.
Par conséquent, les utilisateurs doivent toujours examiner attentivement le contenu de l’invite générée par le jeton numérique et ne confirmer la transaction que s’ils sont sûrs de l’objectif de cette transaction.
Grâce à un mécanisme d'appairage unique et à des fonctionnalités d'analyse antivirus intelligentes, les jetons numériques constituent une couche de sécurité solide, protégeant les comptes des utilisateurs contre les menaces telles que le vol d'identifiants et les attaques de logiciels malveillants. Contrairement aux méthodes d'authentification traditionnelles, les jetons numériques offrent une sécurité multicouche, offrant aux utilisateurs une tranquillité d'esprit lors de leurs transactions en ligne.
« La fonctionnalité d'appairage du jeton numérique avec un seul appareil a créé un obstacle majeur aux activités frauduleuses. En obligeant les fraudeurs à attendre 12 heures pour réactiver le jeton sur un autre appareil, nous avons considérablement réduit le risque d'attaque », a déclaré Beaver Chua, responsable de la lutte antifraude chez OCBC Bank.
À ce propos, Mme Ong-Ang Ai Boon, directrice de l'Association des banques de Singapour, a déclaré : « Nous comprenons que les nouvelles mesures de sécurité puissent causer des désagréments aux clients. Cependant, face à une fraude de plus en plus sophistiquée, il est extrêmement urgent de renforcer l'authentification pour protéger vos comptes et votre argent. »
Par ailleurs, Mme Loo Siew Yee, directrice générale adjointe chargée des politiques, des paiements et de la criminalité financière à l'Autorité monétaire de Singapour, a déclaré : « Nous collaborons étroitement avec les banques pour mettre en place un système de défense solide afin de protéger les consommateurs contre la menace croissante de la cybercriminalité. Cette nouvelle mesure constituera un niveau de protection supplémentaire, offrant aux clients une plus grande tranquillité d'esprit lors de leurs transactions en ligne. »
En 2023, Citibank, une banque multinationale dont le siège social est situé aux États-Unis, avait également mis en œuvre de manière proactive la conversion des méthodes d'authentification des transactions pour ses clients, afin d'améliorer la sécurité et l'expérience utilisateur. Au lieu d'envoyer des codes OTP par SMS, la banque a opté pour l'utilisation de jetons numériques.
Les jetons numériques sont générés aléatoirement et ont une date d'expiration courte, ce qui prévient efficacement les attaques de contrefaçon. Cette conversion vise à améliorer la sécurité des transactions en ligne, à réduire le risque de vol d'informations et à offrir aux clients une plus grande tranquillité d'esprit lors de leurs transactions financières.