L’autorité indépendante des communications d’Afrique du Sud (ICASA) a soumis une proposition radicale pour s’attaquer au problème des attaques par échange de carte SIM dans le pays, suggérant que les fournisseurs de services locaux devraient conserver les données biométriques des propriétaires de numéros de téléphone portable.
Ce faisant, les entreprises de télécommunications comme Vodacom et MTN pourraient utiliser les données pour confirmer que la personne demandant une action de portage de numéro est le propriétaire légitime.
Les attaques par échange de cartes SIM représentent un problème de plusieurs millions de dollars pour tous les pays et fournisseurs de services dans le monde, permettant aux acteurs de la menace de transférer les numéros des personnes vers les cartes SIM des attaquants, détournant essentiellement les comptes des abonnés.
Cette attaque vise à contourner les étapes d’authentification multifacteur par SMS qui protègent les comptes bancaires précieux et les portefeuilles de crypto-monnaie et prennent le contrôle des actifs de leurs victimes.
La plupart des fournisseurs ne disposent pas de protections adéquates pour empêcher cela, et même lorsqu’ils le font, il n’est pas rare que des employés malhonnêtes les remplacent manuellement en échange de quelques centaines de dollars.
L’ICASA estime que l’association des numéros mobiles aux données biométriques des abonnés comblera enfin toutes les lacunes et mettra fin au problème du piratage des numéros de téléphone portable.
La proposition, qui a été soumise à l’examen de l’opinion publique jusqu’au 11 mai 2022, ne précise pas si les données biométriques seront des empreintes digitales, des scans du visage, de la voix, de l’iris ou une combinaison de ceux-ci.
Comment le système fonctionnera
Selon la proposition publié hier par ICASAle système anti-SIM-swap fonctionnera comme suit :
- Lors de l’activation d’un numéro mobile sur le réseau d’un telco (les numéros existants seront également considérés comme nouveaux), le titulaire de licence (fournisseur de services) doit s’assurer qu’il collecte et relie les données biométriques de l’abonné au numéro.
- Le titulaire de licence doit s’assurer qu’il détient à tout moment les données biométriques actuelles d’un numéro de téléphone mobile attribué.
- Les données biométriques collectées par les licenciés doivent être utilisées dans le seul but d’authentification d’un utilisateur auquel un numéro de mobile a été attribué.
- Si un abonné demande un échange SIM (port de numéro), le titulaire doit s’assurer que les données biométriques de l’utilisateur correspondent à celles associées au numéro de mobile. Dans le cas contraire, la demande de portage doit être refusée.
La seule catégorie de personnes exemptées du règlement proposé est celle des personnes morales, probablement pour des raisons de confidentialité et de sécurité.
Ahmore Burger-Smidt, directeur et chef de la pratique de la confidentialité des données et de la cybercriminalité chez Werksmans Attorneys en Afrique du Sud, a déclaré à EZpublish-france.fr que la proposition d’ICASA pourrait très bien être la seule solution pour réprimer la fraude par échange de carte SIM.
La fraude à la carte SIM est malheureusement répandue en Afrique du Sud et les opérateurs de réseaux mobiles ne savent pas comment y faire face. En outre, la législation RICA (Regulation of Interception of Communications and Provision of Communication-related Information Act 70 of 2002) impose aux opérateurs de réseaux mobiles l’obligation positive d’obtenir certaines données lors de la vente d’une carte SIM.
Dans un monde aux lois diverses, le paysage législatif plus large devrait servir l’intérêt public. Il est sans aucun doute dans l’intérêt public de prévenir ou du moins de viser à limiter la cyberfraude et, par conséquent, la collecte d’informations biométriques pourrait très bien servir l’intérêt public. – Ahmore Burger-Smidt
Le cas de la confidentialité et de la sécurité des données en Afrique du Sud
Nous avons couvert à plusieurs reprises des nouvelles sur les fournisseurs de services de télécommunication piratés par des pirates, de sorte qu’une base de données contenant des données biométriques sensibles qui ne peuvent pas être réinitialisées ou modifiées présente un risque important pour des dizaines de millions d’abonnés mobiles en Afrique du Sud.
Les défenseurs de la vie privée dans le pays craignent également que l’utilisation exclusive pour l’authentification de l’identité ne soit pas strictement appliquée et que les autorités ou les agences de renseignement puissent avoir accès à la base de données.
Si la base de données contient des scans faciaux et que l’accès est ouvert à d’autres entités, le pays pourrait essentiellement construire un système de reconnaissance faciale, d’identification publique et de suivi similaire à celui de la Chine, avec qui le parti au pouvoir a liens spéciaux.
L’Afrique du Sud fait partie des pays où Le logiciel espion Pegasus de NSO des infections ont été découvertes, tandis qu’en 2019, il a été révélé que le gouvernement effectuait surveillance de masse du trafic internet depuis 2008.
De plus, le gouvernement avait déjà tenté de faire adopter un tout puissant la loi sur l’interception des communications (RICA), quelque chose qui n’a été abandonné que lorsqu’un tribunal de grande instance du pays a jugé qu’il était inconstitutionnel.
Cela dit, les préoccupations concernant la confidentialité et l’utilisation abusive des données peuvent être justifiées et, espérons-le, l’ICASA tiendra compte des commentaires du public associés et modifiera la proposition en conséquence.