Les APIs ne sont pas seulement des portes d’entrée aux services cloud. Ces interfaces de programmation peuvent aussi donner accès aux réseaux télécoms de plus en plus virtualisés. Les opérateurs trouvent ainsi une nouvelle possibilité d’enrichir et de monétiser leurs infrastructures en les ouvrant à des providers cloud, d’autres opérateurs ou des entreprises clientes.
Les opérateurs français suivent ce mouvement d’« APIsation ». Bouygues Télécom, Free, Orange et SFR ont annoncé, en début de semaine, qu’ils unissent leurs forces « pour fournir des services destinés à aider les développeurs d’applications et les entreprises à lutter contre la fraude en ligne et à protéger les identités numériques des clients mobiles. »
Cette initiative s’inscrit dans le cadre du programme Open Gateway lancé, en mars 2023, par la GSMA, l’association regroupant les principaux opérateurs télécoms dans le monde. Concrètement, nos opérateurs lancent deux APIs pour le marché français. Elles reposent sur les standards du projet open-source Camara de la Linux Foundation qui vise à harmoniser les spécifications entre les acteurs réseaux.
Une première mondiale
La France est le premier pays au monde où sera lancée l’API KYC Match. Celle-ci permet aux entreprises de vérifier les informations fournies par les clients dans le cadre de leur processus KYC (Know Your Customer) en les comparants avec les données de l’opérateur.
Cette comparaison peut inclure des informations telles que le numéro de téléphone mobile, le nom, le code postal, l’adresse, la date de naissance et l’adresse e-mail. « Aucune information personnellement identifiable (PII) n’est partagée dans le processus, garantissant la confidentialité de l’utilisateur tout en permettant une vérification sécurisée et précise », tempère le communiqué de la GSMA.
Baptisée SIM Swap, la seconde API permet de vérifier si un numéro de téléphone donné a récemment changé de carte SIM. Il s’agit là de lutter contre les attaques visant à prendre de contrôle la carte SIM de l’abonné en utilisant des techniques d’ingénierie sociale et des données personnelles volées.
Au moment d’une transaction financière, un établissement bancaire peut vérifier si la relation entre le numéro de téléphone du client et la carte SIM a récemment changé, les aidant à décider d’approuver ou non cette opération.
Plus de vingt entreprises utilisatrices
Alors que le lancement commercial est prévu pour le premier semestre 2025, les deux APIs ont été testées sur le marché français auprès de plusieurs institutions financières, telles que BforBank, la banque en ligne de Crédit Agricole, ou Fortuneo, filiale de Crédit Mutuel Arkéa. En tout, plus de vingt entreprises en France utilisent déjà ces APIs.
D’ores et déjà, les quatre opérateurs envisagent d’inclure une troisième API. Comme son nom l’indique l’API « Vérification de numéro » peut être utilisée pour vérifier le numéro de mobile d’un client en fournissant la prochaine génération d’authentification forte. L’API vérifie automatiquement l’identité du client. Ce qui évite de passer par la génération d’un code à usage unique par SMS, altérant l’expérience utilisateur.
Selon les chiffres du ministère de l’Intérieur repris par la GSMA, 80 % des entreprises françaises déclarent avoir subi des tentatives de fraude en ligne, 45 % affirmant même que la fraude en ligne a augmenté au cours des douze derniers mois. Le nombre de cas de vol d’identité numérique a, de son côté, augmenté de 40 % au cours des quatre dernières années.