Community Trust ScoreVérifié
La FCC souhaite que les télécoms collectent beaucoup plus de données sur vous. Noms, adresses, identifiants gouvernementaux — tout y passe. Et pour les détenteurs de crypto, c’est un problème qui mérite attention dès maintenant.
La proposition, déposée sous les dossiers CG Nos. 17-59 et 02-278 le 26 mai, demande aux fournisseurs de services vocaux de recueillir des informations clients détaillées dans le cadre d’une initiative visant à réduire les appels automatisés illégaux, qui coûtent des milliards aux Américains chaque année. Les opérateurs devraient conserver ces données pendant quatre ans après la fin de la relation client. Le non-respect entraîne une amende de 2 500 $ par appel. Les commentaires publics se terminent le 25 juin, donc la fenêtre pour donner son avis est pratiquement fermée.
Les attaques par SIM-swap sont déjà coûteuses
Voici la partie qui devrait inquiéter quiconque détient des crypto-monnaies. Les numéros de téléphone sont au cœur de la plupart des systèmes de récupération de compte et d’authentification à deux facteurs. Si votre numéro de téléphone est détourné — c’est une attaque par SIM-swap, où un fraudeur convainc un opérateur de rediriger votre numéro vers son appareil — les attaquants peuvent accéder directement à vos comptes d’échange, vos portefeuilles, votre e-mail. C’est rapide, difficile à arrêter en temps réel, et cela se produit déjà à grande échelle.
En 2021 seulement, 1 611 plaintes de SIM-swap ont été déposées auprès des autorités, et les pertes cette année-là ont dépassé les 68 millions de dollars. C’est en hausse par rapport aux 12 millions de dollars des trois années précédentes combinées. La hausse est abrupte. Et cela avant que la FCC ne rende potentiellement les comptes téléphoniques des cibles beaucoup plus riches en les liant à des dossiers personnels détaillés.
La logique n’est pas compliquée. À l’heure actuelle, certains comptes téléphoniques — en particulier les prépayés — contiennent peu de données d’identité. Les attaquants ciblant ces comptes obtiennent un numéro de téléphone. Selon la règle proposée, ils obtiendraient potentiellement un numéro de téléphone plus un nom, une adresse domiciliaire et un numéro d’identification gouvernemental. C’est un ensemble complet pour l’ingénierie sociale. Les opérateurs eux-mêmes ont subi des violations de données. Les fournisseurs ont eu des violations. Plus de données stockées plus longtemps signifie plus d’exposition lorsque quelque chose tourne mal.
La proposition de la FCC demande également aux opérateurs de collecter les adresses IP des utilisateurs à fort volume. Cela ajoute une couche supplémentaire d’informations potentiellement sensibles dans les bases de données des télécoms.
Qui est concerné — et qui ne l’est pas
Une des plus grandes questions non résolues de la proposition est la portée. La FCC n’a pas décidé si les exigences KYC s’appliqueront à tous les clients ou uniquement aux émetteurs commerciaux — c’est-à-dire aux entreprises qui génèrent de gros volumes d’appels.
Cette distinction est extrêmement importante. Si la règle cible uniquement les émetteurs commerciaux, la plupart des utilisateurs individuels ne ressentiront probablement pas beaucoup de changement. Mais si la FCC étend les exigences à tous les clients, y compris les comptes de détail et prépayés, c’est pratiquement la fin de l’accès téléphonique pseudonyme aux États-Unis. Pour les détenteurs de crypto qui ont délibérément utilisé des services téléphoniques prépayés ou à faible KYC comme couche de confidentialité — spécifiquement parce que leur modèle de menace inclut des attaques ciblées, de l’extorsion ou des risques physiques liés à une richesse crypto connue — c’est un changement sérieux.
La FCC demande explicitement si les cartes SIM prépayées et les clients de détail devraient faire face aux mêmes exigences que les utilisateurs à fort volume. Pas encore de réponse. La décision finale sur cette question déterminera si cette règle est principalement un outil de lutte contre les appels automatisés ou devient une nouvelle surface d’attaque pour la communauté crypto.
Pas vraiment une note de bas de page mineure. La question du prépayé est sans doute le cœur du jeu pour les utilisateurs soucieux de la confidentialité.
Les lacunes de confidentialité que la FCC n’a pas abordées
Ce qui est frappant dans la proposition, c’est ce qu’elle n’aborde pas. Il n’y a pas de cadre clair dans le texte actuel pour la manière dont les opérateurs doivent protéger les données qu’ils collectent. La FCC reconnaît — et il est bon d’être direct à ce sujet — que les protections existantes de l’industrie peuvent ne pas être suffisantes. L’agence demande si des mesures de sécurité supplémentaires sont nécessaires. C’est une question ouverte, pas une question résolue.
Ainsi, la FCC propose d’élargir considérablement l’empreinte des données personnelles de chaque compte téléphonique, tout en admettant simultanément qu’il n’est pas clair si les protections actuelles sont à la hauteur. Pour quiconque dont le numéro de téléphone est également la clé d’un portefeuille crypto, cet écart est inconfortable.
Les attaques d’ingénierie sociale ne nécessitent pas de violation technique. Un attaquant qui connaît déjà votre nom, votre opérateur et votre localisation approximative — peut-être à partir d’une fuite de données précédente — appelle la ligne de support de votre opérateur et utilise les nouvelles données KYC collectées pour vous imiter de manière convaincante. Les opérateurs sont déjà un maillon faible dans cette chaîne. Des bases de données plus riches facilitent l’usurpation d’identité, pas le contraire.
La proposition laisse ce risque essentiellement non abordé. Il n’y a aucune mention de vérification multi-facteurs obligatoire avant les changements de compte, aucune norme de sécurité minimale pour la manière dont les opérateurs stockent ou transmettent les données collectées, aucun cadre de responsabilité au-delà de l’amende de 2 500 $ par appel liée aux violations d’appels automatisés.
Pour les détenteurs de crypto en particulier, le résultat ici oblige probablement à repenser la sécurité, quelle que soit la décision de la FCC. Si des exigences strictes de KYC s’appliquent à tous les types de comptes, l’authentification à deux facteurs basée sur le téléphone devient un maillon plus faible qu’elle ne l’est déjà. Se tourner vers des applications d’authentification, des clés matérielles ou d’autres méthodes de sécurité non dépendantes du téléphone commence à sembler moins optionnel et plus nécessaire.
La FCC n’a pas fixé de date de vote finale. Les commentaires publics se terminent le 25 juin, et la règle pourrait passer par plusieurs cycles de révision avant que quoi que ce soit ne soit finalisé. Difficile de savoir combien de temps cela prendra. Mais la direction prise — plus de données, rétention plus longue, collecte plus large — semble fixée indépendamment de la décision de portée.
Les 68 millions de dollars de pertes dues aux SIM-swap enregistrées en 2021 sont survenues avant que cette collecte de données élargie ne soit en place.
Questions Fréquentes
Qu’est-ce que la FCC propose exactement de collecter par les opérateurs de télécommunications ?
La FCC souhaite que les fournisseurs de services vocaux recueillent les noms, adresses, identifiants gouvernementaux des clients, et les adresses IP pour les utilisateurs à fort volume, en conservant ces données pendant quatre ans après la fin de la relation client, avec une amende de 2 500 $ par appel en cas de non-conformité.
Comment la proposition KYC de la FCC est-elle liée aux attaques par SIM-swap sur les comptes crypto ?
Les attaques par SIM-swap — où des fraudeurs détournent le numéro de téléphone d’une victime pour accéder à des comptes crypto — ont causé plus de 68 millions de dollars de pertes en 2021 seulement ; les données KYC élargies stockées par les opérateurs pourraient fournir aux attaquants des informations plus riches pour imiter les clients et mener ces attaques plus facilement.
