La Commission des valeurs mobilières et des futures de Hong Kong a ordonné aux plateformes de trading d'actifs virtuels agréées et aux sociétés de courtage en ligne de supprimer les mots de passe à usage unique pour la connexion client et l'enregistrement des appareils dans un délai de 12 mois. La directive fait suite à une augmentation des attaques de spoofing, qui représentaient 57 % de tous les incidents de sécurité signalés en 2025 selon le Centre de coordination des incidents de cybersécurité de Hong Kong. Le régulateur a indiqué que l'authentification par OTP n'était plus suffisante face aux opérations de phishing, d'usurpation d'identité et de fraude qui trompent les utilisateurs pour leur faire remettre leurs codes de connexion, permettant aux attaquants d'accéder aux comptes, d'enregistrer de nouveaux appareils, de passer des ordres ou d'effectuer des retraits avant que les sociétés ne détectent la compromission.
La SFC impose l’utilisation de passkeys et la liaison d’appareils pour l’authentification
La circulaire exige que les sociétés cessent d’utiliser les OTP pour la connexion client et la liaison d’appareils, et adoptent des méthodes d’authentification plus robustes telles que les passkeys et la liaison d’appareils. Le régulateur a précisé que la mise en œuvre doit se faire « dès que possible », avec une date limite finale fixée à 12 mois à compter de la date d’émission de la circulaire. Les grandes sociétés de courtage en ligne ont été invitées à adopter immédiatement ces nouvelles méthodes d’authentification. Les passkeys réduisent la dépendance aux codes qui peuvent être volés via des pages de phishing, tandis que la liaison d’appareils relie l’accès au compte à des appareils de confiance, rendant plus difficile la tentative de connexion non autorisée.
Les sociétés agréées doivent renforcer la surveillance et alerter leurs clients
Les sociétés agréées doivent renforcer leurs systèmes de surveillance pour détecter toute activité suspecte lors des connexions, des opérations de trading ou des retraits. Cela inclut la surveillance des schémas d’accès inhabituels, des activités sur de nouveaux appareils, des comportements anormaux lors des ordres, et des demandes de retrait pouvant indiquer qu’un compte a été compromis. Le régulateur exige également que les sociétés informent rapidement leurs clients en cas d’activité significative sur leur compte et qu’elles réagissent rapidement en cas de piratage. La sensibilisation des clients fait partie du mandat, avec l’attente que les sociétés avertissent régulièrement les utilisateurs des escroqueries par usurpation d’identité, des tentatives de phishing et des risques croissants en cybersécurité.
Le Dr Yip Chi-hang, directeur exécutif de la division des intermédiaires de la SFC, a déclaré : « Pour protéger les comptes clients contre des attaques de phishing de plus en plus sophistiquées et variées, une approche globale combinant prévention, détection, réponse et éducation est nécessaire. Les institutions agréées doivent renforcer leur première ligne de défense par des solutions d’authentification robustes, rester vigilantes face aux activités suspectes, et réagir rapidement avant que des dommages ne surviennent. »
La haute direction porte la responsabilité ultime de la protection des comptes
La SFC a rappelé que la haute direction des sociétés agréées porte la responsabilité ultime de la mise en place de contrôles appropriés pour protéger les comptes et les actifs des clients. Le régulateur a précisé que les sociétés peuvent être tenues responsables des pertes subies par les clients en raison de défaillances dans les contrôles internes. La politique s’applique aussi bien aux courtiers en ligne qu’aux plateformes de trading d’actifs virtuels, établissant une base commune pour l’accès financier en ligne dans les marchés traditionnels et cryptographiques.
FAQ
Quelles méthodes d’authentification les plateformes crypto et courtiers de Hong Kong doivent-ils adopter pour remplacer les OTP ?
Les sociétés doivent adopter des méthodes d’authentification plus solides telles que les passkeys et la liaison d’appareils. Les passkeys réduisent la dépendance aux codes pouvant être volés via des pages de phishing, tandis que la liaison d’appareils relie l’accès au compte à des appareils de confiance.
Pourquoi la SFC a-t-elle ordonné la suppression progressive des connexions par OTP ?
La directive fait suite à une augmentation des attaques de spoofing, qui représentaient 57 % de tous les incidents de sécurité signalés en 2025 selon le Centre de coordination des incidents de cybersécurité de Hong Kong. Le régulateur a indiqué que l’authentification par OTP n’était plus suffisante face aux opérations de phishing, d’usurpation d’identité et de fraude.
Quel est le délai pour que les sociétés se conforment aux nouvelles exigences d’authentification de la SFC ?
Les sociétés disposent de 12 mois à compter de la date d’émission de la circulaire pour supprimer les OTP pour la connexion client et l’enregistrement des appareils. Les grandes sociétés de courtage en ligne ont été invitées à adopter immédiatement ces nouvelles méthodes d’authentification.