Les banques de Singapour vont progressivement abandonner l'utilisation des OTP pour prévenir la fraude en ligne
Dans le but d'améliorer la sécurité et de prévenir efficacement les activités frauduleuses, les principales banques de Singapour éliminent progressivement la méthode d'authentification utilisant des mots de passe à usage unique (également appelés OTP - One Time Password) et passent à l'utilisation de jetons numériques.
Le développement technologique a entraîné une augmentation des fraudes, dont l'usurpation d'identité sur les sites web bancaires pour voler des codes OTP est l'une des techniques les plus dangereuses. Pour protéger leurs clients de ces menaces, l'Autorité monétaire de Singapour (MAS) et l'Association des banques de Singapour (ABS) ont mis en place de nouvelles mesures d'authentification afin de renforcer la sécurité et de prévenir efficacement les activités frauduleuses.
Afin de renforcer la sécurité des informations, les principales banques de Singapour, dont DBS Bank, OCBC Bank et UOB, cesseront officiellement de prendre en charge les connexions OTP en novembre. Tous les clients devront adopter les jetons numériques, une méthode d'authentification plus sûre et plus pratique.

Les clients d'autres banques utilisant des jetons physiques peuvent continuer à les utiliser normalement. Cependant, pour bénéficier d'une plus grande commodité et d'une sécurité renforcée, les autorités recommandent d'adopter les jetons numériques.
Pour protéger les transactions en ligne, les applications bancaires envoient des notifications push demandant aux utilisateurs de confirmer chaque transaction. Il s'agit d'une couche de sécurité supplémentaire qui contribue à prévenir les activités frauduleuses.
Avec les jetons numériques, la protection des comptes devient plus sûre, car les fraudeurs ne peuvent pas effectuer de transactions à distance sans l'appareil de l'utilisateur.
Contrairement aux jetons numériques, les codes OTP sont vulnérables aux fraudeurs. Ces derniers peuvent voler les codes OTP des utilisateurs par des appels frauduleux, de faux messages ou l'installation de logiciels malveillants, réalisant ainsi des transactions non autorisées.
Qu'est-ce qu'un jeton numérique ?
Les jetons numériques sont utilisés pour authentifier les connexions et les transactions sur les applications bancaires mobiles et remplacent essentiellement les jetons physiques émis par les banques.
Les clients disposant de jetons numériques activés sur leurs appareils mobiles devront utiliser ces jetons pour se connecter à leurs comptes bancaires via un navigateur ou une application mobile.
Une fois le jeton numérique configuré, le client n'a plus besoin d'utiliser le jeton physique. Grâce au jeton numérique, l'utilisateur s'authentifiera uniquement via l'invite générée par l'application, sur laquelle il devra appuyer pour valider la transaction.
Comment l’élimination des codes OTP rendra-t-elle les opérations bancaires plus sûres ?
Les codes OTP ont été introduits dans les années 2000 pour améliorer la sécurité en ligne, mais les tactiques d'ingénierie sociale et les avancées technologiques ont permis aux fraudeurs de voler plus facilement les codes OTP des clients via de faux sites Web bancaires.
Les victimes de cyberfraude sont souvent amenées à divulguer leurs identifiants de connexion, tels que leurs noms d'utilisateur, leurs mots de passe et leurs codes OTP. Ces codes sont souvent générés à l'aide de dispositifs de sécurité tels que des jetons matériels ou des applications mobiles pour garantir la sécurité des transactions. Cependant, lorsque ces informations tombent entre de mauvaises mains, elles peuvent être utilisées pour voler les biens de la victime.
La sécurité de l'envoi de codes OTP par SMS est très limitée. Les SMS peuvent facilement être partagés par erreur ou interceptés par des logiciels malveillants, permettant ainsi aux criminels d'en profiter pour effectuer des transactions non autorisées.
La suppression des codes OTP et leur remplacement par des notifications de transaction détaillées renforcent non seulement la sécurité des utilisateurs, mais leur offrent également un contrôle plus proactif sur leurs comptes. C'est pourquoi les autorités recommandent aux utilisateurs d'adopter les jetons numériques.
Les utilisateurs sont-ils totalement en sécurité lorsqu’ils utilisent des jetons numériques ?
Les sites d'hameçonnage exploitent souvent le manque de vigilance des utilisateurs en créant de fausses invites d'authentification. Si les utilisateurs ne font pas attention, ils peuvent approuver des transactions à leur insu, donnant ainsi au pirate le pouvoir de détourner des jetons numériques et d'effectuer des transactions illégales.
Grâce aux jetons numériques, l'authentification des transactions devient plus simple et plus sécurisée. Un simple clic suffit pour finaliser le processus d'authentification, tandis que les codes OTP nécessitent de nombreuses étapes manuelles et présentent de nombreux risques de sécurité.
Par conséquent, les utilisateurs doivent toujours examiner attentivement le contenu de l’invite générée par le jeton numérique et ne confirmer la transaction que s’ils sont sûrs de l’objectif de cette transaction.
Grâce à un mécanisme d'appairage sur un seul appareil et à des capacités d'analyse antivirus intelligentes, les jetons numériques constituent une solide couche de sécurité, protégeant les comptes des utilisateurs contre les menaces telles que le vol d'identifiants et les attaques de logiciels malveillants. Contrairement aux méthodes d'authentification traditionnelles, les jetons numériques offrent une sécurité multicouche, offrant aux utilisateurs une tranquillité d'esprit lors de leurs transactions en ligne.
« La fonctionnalité d'appairage du jeton numérique avec un seul appareil constitue un obstacle majeur aux activités frauduleuses. En obligeant les fraudeurs à attendre 12 heures pour réactiver le jeton sur un autre appareil, nous avons considérablement réduit le risque d'attaque », a déclaré Beaver Chua, responsable de la lutte antifraude chez OCBC Bank.
À ce sujet, Mme Ong-Ang Ai Boon, directrice de l'Association des banques de Singapour, a déclaré : « Nous comprenons que les nouvelles mesures de sécurité puissent causer des désagréments aux clients. Cependant, face à la sophistication croissante des fraudes, il est urgent de renforcer l'authentification pour protéger vos comptes et votre argent. »
Parallèlement, Mme Loo Siew Yee, directrice générale adjointe chargée des politiques, des paiements et de la criminalité financière à l'Autorité monétaire de Singapour, a déclaré : « Nous travaillons en étroite collaboration avec les banques pour mettre en place un système de défense solide afin de protéger les consommateurs contre la menace croissante de la cybercriminalité. Cette nouvelle mesure offrira une protection supplémentaire, offrant aux clients une plus grande tranquillité d'esprit lors de leurs transactions en ligne. »
En 2023, Citibank, banque multinationale dont le siège social est aux États-Unis, a également mis en œuvre de manière proactive la conversion des méthodes d'authentification des transactions pour ses clients, afin d'améliorer la sécurité et l'expérience utilisateur. Au lieu d'envoyer des codes OTP par SMS, la banque a opté pour l'utilisation de jetons numériques.
Les jetons numériques sont générés aléatoirement et ont une date d'expiration courte, ce qui prévient efficacement les attaques de contrefaçon. Cette conversion vise à améliorer la sécurité des transactions en ligne, à réduire le risque de vol d'informations et à offrir aux clients une plus grande tranquillité d'esprit lors de leurs transactions financières.