Comment la nouvelle fonctionnalité de masquage de numéro de M-Pesa pourrait empêcher des milliers d'arnaques

Depuis le lancement de la plateforme d'argent mobile M-Pesa de Safaricom en 2007, chaque fois qu'un utilisateur envoie de l'argent, paie du carburant, des courses ou une course en boda boda, il laisse son numéro de téléphone, qui apparaît dans la notification de transaction envoyée au destinataire ou au commerçant. Ce numéro pourrait être enregistré, partagé ou vendu à des acteurs malveillants impliqués dans la fraude par échange de carte SIM.

Pour les plus de 37 millions de Kényans qui utilisent la plateforme, il s'agit d'un maillon possible dans une chaîne qui, dans certains cas, a conduit des clients à perdre leurs fonds au profit d'escrocs.

Vendredi, la Banque centrale du Kenya (CBK) a approuvé la demande tant attendue de Safaricom de masquer les numéros de téléphone des utilisateurs lorsqu'ils effectuent des paiements. 

Cette décision marque un changement significatif en matière de confidentialité numérique pour les utilisateurs de la plateforme et une intervention directe contre une menace de fraude qui a alimenté des milliers d'escroqueries en ligne dans le pays.

« Nous vous informons que la CBK a examiné votre demande et les documents soumis à l'appui de la solution et approuve votre demande de mise en œuvre de la minimisation des données pour les transactions de pair à pair », a déclaré la CBK dans sa lettre à Safaricom.

Dans le nouveau système, les numéros de téléphone seront partiellement masqués lors des transferts de pair à pair. Si un destinataire souhaite voir le numéro complet, il devra en faire la demande, et l'expéditeur pourra donner son consentement ou refuser.

Cette fonctionnalité empêchera également les marchands de voir le nom complet ou le numéro de téléphone mobile du payeur lors du règlement de factures ou de l'achat de biens via les numéros Till ou Paybill de la plateforme, réduisant ainsi la visibilité des informations personnelles, qui a été un sujet de préoccupation pour des millions d'utilisateurs.

Menaces croissantes de fraude 

Les conséquences de la facilité à trouver des numéros de téléphone ont été frappantes. En 2025, la Direction des enquêtes criminelles (DCI) a arrêté six suspects de cybercriminalité à Mombasa qui dirigeaient un réseau d'escroqueries en ligne dans la ville côtière. Selon la DCI, les escrocs utilisaient des applications d'usurpation d'identité, payées avec plus de 500 000 KES (3 875 $), pour se faire passer pour des agents du service client de banques et d'opérateurs télécoms.

En utilisant des numéros de téléphone collectés lors de transactions légitimes, ils pouvaient convaincre les victimes qu'elles parlaient à un responsable de confiance, leur soutirant ainsi des codes PIN et des mots de passe.

La fraude par échange de carte SIM est également devenue l'un des crimes les plus dommageables dans l'économie mobile du Kenya, exploitant le fait qu'un numéro de téléphone sert à la fois de nom d'utilisateur bancaire et de compte d'argent mobile.  Les fraudeurs trompent ou soudoient des agents de télécommunications pour transférer le numéro d'une victime sur une nouvelle carte SIM, empêchant ainsi le propriétaire légitime d'accéder à sa ligne.

Une fois cela fait, ils réinitialisent les codes PIN des services bancaires mobiles et de M-Pesa, interceptent les mots de passe à usage unique et vident les comptes en quelques minutes. L'ampleur de la menace a suscité à plusieurs reprises des avertissements de la part de l'Autorité des communications du Kenya et de la Banque centrale du Kenya, ainsi que des règles d'enregistrement des cartes SIM plus strictes et des exigences de vérification des clients plus rigoureuses.

La Haute Cour du Kenya a également accordé des dommages-intérêts à des consommateurs pour des contacts non sollicités et du spam de la part d'entreprises privées. Par exemple, il est courant que les entreprises locales envoient des messages promotionnels aux clients qui paient via l'argent mobile.

Les régulateurs renforcent désormais les attentes concernant la manière dont les services financiers numériques traitent les données personnelles. En 2024, les sociétés financières et d'assurance ont représenté environ 30 % des décisions rendues par le Bureau du Commissaire à la protection des données (ODPC), avec plus de 5 000 plaintes déposées.