La Securities and Futures Commission de Hong Kong a indiqué aux plateformes de trading crypto agréées qu'elles disposent d'un an pour abandonner l'authentification par mot de passe à usage unique, sous peine d'engager leur responsabilité directe en cas de pertes subies par les utilisateurs.
Selon les nouvelles règles, la SFC considérera les OTP par SMS et par e-mail comme une protection insuffisante pour l'accès aux comptes des clients particuliers. Les plateformes doivent migrer vers une authentification à deux facteurs cryptographique, généralement via une application ou une clé matérielle, et seront financièrement tenues responsables si un utilisateur est compromis via un canal OTP existant pendant la fenêtre de transition.
Pourquoi c'est important
La fraude aux OTP et les attaques par échange de carte SIM ont été le point d'entrée de la majorité des prises de contrôle de comptes côté plateforme au cours des trois dernières années. En transférant la responsabilité sur la plateforme plutôt que sur l'utilisateur, la SFC transforme un problème de service client en sujet comptable. Les plateformes qui retardent la migration s'auto-assurent en pratique contre des attaques qu'elles savent déjà inevitables.
Impact sur le marché
Le délai de conformité court sur douze mois à compter des orientations de la SFC, qui interviennent en parallèle de l'élargissement de l'octroi de licences à Hong Kong, ayant récemment approuvé quatre plateformes supplémentaires pour le trading crypto destiné aux particuliers. Les places agréées à Hong Kong font désormais face à une dépense de sécurité imposée avec une échéance ferme, et le transfert de responsabilité incitera probablement davantage de plateformes régionales à abandonner les OTP, avant même que les régulateurs locaux ne l'exigent.
Questions fréquemment posées
-
Pourquoi la SFC de Hong Kong interdit-elle les mots de passe à usage unique ?
Le régulateur a statué que les OTP par SMS et e-mail sont insuffisants pour protéger les comptes crypto des particuliers, citant la fraude aux OTP et les attaques par échange de carte SIM comme principal point d'entrée des prises de contrôle de comptes côté plateforme.
-
Par quoi les plateformes crypto hongkongaises doivent-elles remplacer les OTP ?
Les plateformes doivent migrer vers une authentification à deux facteurs cryptographique, généralement via des authentificateurs sur application ou des clés de sécurité matérielles, dans une fenêtre de transition de douze mois.
-
Que se passe-t-il si une plateforme manque l'échéance sur les OTP ?
Les plateformes agréées qui ne parviennent pas à abandonner les OTP dans le délai d'un an deviennent directement responsables des pertes utilisateurs qui en résultent, au lieu de reporter le risque sur le client concerné.
-
Cette règle s'applique-t-elle à toutes les entreprises crypto à Hong Kong ou seulement aux agréées ?
Les orientations s'appliquent aux plateformes de trading crypto agréées par la SFC opérant à Hong Kong. Les plateformes offshore non agréées servant des utilisateurs hongkongais sortent du mandat direct, mais subissent une pression de fait pour se mettre en conformité.
-
Comment ce virage sur les OTP s'inscrit-il dans la posture crypto globale de Hong Kong ?
Cette règle sur l'authentification à deux facteurs accompagne l'élargissement continu des licences par la SFC, qui a récemment autorisé quatre plateformes supplémentaires pour le trading crypto des particuliers, ce qui suggère que Hong Kong associe l'ouverture du marché à un renforcement des planchers de protection…